Od strony proceduralnej kwestię opisuje norma PN-ISO/IEC 27001, a także opracowany ponad 30 lat temu zestaw dobrych praktyk ITIL, dotyczący budowy i zarządzania organizacją IT. Oparty na tzw. cyklu Deminga (PDCA - Plan-Do-Check-Act) ITIL był początkowo stosowany głównie przez brytyjskie agencje rządowe, jednak z czasem – i kolejnymi aktualizacjami – stał się powszechną odpowiedzią na współczesne wymagania biznesowe związane z sektorem IT.

"3" wskazuje, że dane są bezpieczne, gdy istnieją w trzech egzemplarzach – jako oryginał i dwie kopie bezpieczeństwa. "2" odnosi się do zasady, aby dane były umieszczone na dwóch różnych nośnikach, co pozwoli na zabezpieczenie się przed awarią jednego z nich. "1" to zalecenie, aby jedna z kopii była przechowywana w innej lokalizacji. Jest to zabezpieczenie przed występującymi lokalnie zagrożeniami – od włamania, poprzez katastrofy naturalne czy różnego rodzaju wypadki.