As cópias de segurança, juntamente com o controle consistente e atualizado dessas cópias e a documentação dos procedimentos de recuperação, devem ser mantidas no mesmo local da instalação principal, em local suficientemente próximo para sua imediata recuperação em caso de falha.

Três gerações, ou ciclos, de cópias de segurança das aplicações críticas é a quantidade mínima recomendada que deve ser mantida em local seguro (ambiente de backup) com os mesmos controles adotados para as mídias no ambiente principal.

As mídias utilizadas para cópias não precisam ser periodicamente testadas, pois são usadas somente em caso de falha.

Uma vez aprovados, os procedimentos de recuperação não devem ser modificados nem verificados periodicamente; a segurança do procedimento inicialmente acordada não será violada.

Segurança da informação é obtida a partir da implementação de uma série de controles que podem ser políticos, práticos, procedimentos, estruturas organizacionais e funções de software, sendo caracterizada pela preservação da continuidade, confiabilidade e criptografia dos dados.