Es sollte eine Backup-Richtlinie erstellt werden, die festlegt, für welche Systeme, wie oft und für welche Daten Backups erstellt werden, wo sie sich befinden und wie sie geschützt werden (z. B. durch geeignete Verschlüsselung). Außerdem müssen die Verantwortlichkeiten für das Backup-Management festgelegt werden. Diese Richtlinie trägt dazu bei, dass der Geschäftsbetrieb im Notfall schnell wieder aufgenommen werden kann. Auch bei der Nutzung von Cloud-Anbietern muss in den Verträgen festgelegt werden, ob, welche Art und in welchem Umfang Daten gesichert werden.
Bei der Erstellung von Backups gibt es verschiedene Ansätze. Ein Ansatz, der sich in der Praxis bewährt hat, ist die sogenannte „3-2-1-Regel“. Bei diesem Ansatz werden drei Kopien der Daten auf zwei verschiedenen Medien (z. B. Festplatte, NAS, Cloud, etc.) gesichert, wobei eine der Sicherungen physisch getrennt von den anderen, zumindest in einem anderen Brandabschnitt, aufbewahrt wird.
Wenn nur externe Anbieter in Form von Cloud-Anbietern für Backups genutzt werden, sollten mehrere Anbieter genutzt werden. Auch wenn ein Cloud-Anbieter ein hohes Maß an Datensicherheit garantiert, können auch sie von Angriffen betroffen sein. Eine Diversifizierung der Anbieternutzung, z. B. durch die Nutzung eines zweiten Anbieters, bietet ein höheres Maß an Sicherheit, falls ein Anbieter ausfällt. Die Verträge, insbesondere die Service-Level-Agreements, sollten so gestaltet sein, dass sie ausdrücklich auch die Datensicherung und nicht nur die Speicherung der Daten abdecken.