三十、電子處理之個人資料安全維護，應遵守資通安全管理法、資通安全 管理法施行細則、檔案法、檔案法施行細則、臺北市政府資通安全 管理規定、臺北市政府員工使用資通訊裝置應注意事項、臺北市政 府及所屬各機關辦理資訊使用管理稽核作業規定、臺北市政府文書 處理實施要點等相關法令規定，並得參考行政院國家資通安全會報 技術服務中心所訂各項資訊安全參考指引辦理。 非電子處理之個人資料安全維護，應依檔案法、檔案法施行細則、 臺北市政府文書處理實施要點、臺北市政府公務機密維護作業等規 定辦理。 本館得因應最新技術發展或資訊安全問題訂定技術指引。 得因應負責業務特性自訂內部安全控制措施或管理細則。

三十一、各組室、研究員應視業務性質保存下列紀錄或證據： （一）當事人書面同意。 （二）告知或通知當事人。 （三）當事人或法定代理人依本法第十條或第十一條第一項至第 四項定主張權利。 （四）蒐集、處理、利用個人資料所生之軌跡紀錄（ log）。 （五）依第十四點第一項規定作成之紀錄。 （六）本館或各組室、研究員之檢查或稽核。 （七）依第三十三點規定作成之監督紀錄。 （八）個人資料正確性有爭議。 （九）個資事件。 依前項規定保存之紀錄或證據，除其他法令另有規定或契約另有 約定外，應至少保存五年。

三十二、為妥善因應個資事件，平時應建立通報及支援聯絡網人員名冊， 掌握個人資料處理或利用流程，透過監測資料注意異常狀況之潛 在問題。

三十三、本館每年應依臺北市政府資通安全管理規定、臺北市政府及所屬 各機關辦理資訊使用管理稽核作業規定辦理相關稽核作業。

三十四、個資事件發生後，各組室、研究員應儘速完成通報作業並採取適 當之應變措施並依本法第十二條通知當事人。 前項通報對象包括機關首長、組室主管；通報內容至少應包括通 報人身分、資料外洩或侵害方式、時間、地點、初估外洩或侵害 個人資料類別及數量、避免損害擴大處置等資訊；通報方式以電 話或簡訊為主，電子郵件為輔。 第一項之通知，指以言詞、書面、電話、簡訊、電子郵件、傳真 、電子文件或其他足以使當事人知悉或可得知悉之方式為之。 重大資通安全事件通報及應變作業，應依資通安全事件通報及應 變辦法、臺北市政府資通安全事件通報及應變管理程序辦理。