國家表演藝術中心國家兩廳院資通安全管理制度

歡迎來到我們的資通安全制度網站,我們深知在數位化時代,資訊安全的重要性日益提升,我們致力於建立一個安全、可信賴的營運環境。

錄影存放相關規定彙整

2025-10-15

錄影檔案存放應該保留多久,成本與安全應該如何取捨,嘗試由各種規定設置的角度彙整保存期間。

相關規定

  • 電信事業資通安全管理辦法
    • 第 8 條 - 電信事業應以實體隔離方式設置電信設備機房,並具備獨立出入口。前項出入口應設置全天候入侵告警與錄影監控之門禁安全管理系統,告警與錄影紀錄至少應保存六個月。
  • 臺北市政府警察局駐地安全監視錄影系統設置管理要點
    • 第 5 條 - 監錄系統設置應注意攝影角度、照明、解析度(攝影機:解析度720P以上;主機:每一路每一格每一秒儲存十張圖像以上,每張圖像解析度一百萬以上有效圖素;以彩色為主)、時間顯示、鏡頭之防塵、防水及設備之防潮、防熱。監錄系統係採數位循環儲存模式者,其攝錄影音檔案至少儲存一個月。監錄系統攝錄影音檔案不得刪除或格式化。監錄系統應設置不斷電系統(設備)。
  • 金門縣監視錄影系統設置管理辦法
    • 第 8 條 - 監視錄影系統攝錄之影像檔案,管理人員應妥善保管;保管期限至少為一個月,期滿得予以銷毀並做成紀錄。但管理機關認為治安或公務上使用之必要,得扣留使用,檔案得保存一年,其調閱及複製並應詳予紀錄。
  • 臺北市錄影監視系統設置管理自治條例
    • 第 13 條 - 錄影監視系統攝錄儲存資料期間不得少於三十日;除其他法律另有規定,或因調查犯罪嫌疑、其他違法行為,有保存之必要者外,至遲應於攝錄完成時起一年內銷毀之。
  • 臺中市公設監視錄影系統設置管理自治條例
    • 第 13 條 - 監視錄影系統設置後,設置單位應善盡管理維護之責。攝錄影音資料應妥善保管,保管期限不得少於三十日,其調閱及複製並應詳予記錄。
    • 第 15 條 - 依本自治條例取得、調閱、複製之攝錄影音資料,除因調查犯罪嫌疑或其他違法行為有保存必要者外,至遲應於資料製作完成時一年內銷毀。
  • 高雄市錄影監視系統設置管理及利用辦法
    • 第 9 條 - 錄影監視系統攝錄之影像檔案(以下簡稱錄影資訊)保存期間不得少於三十日。
    • 第 15 條 -錄影資訊,除其他法律另有規定,或因調查犯罪嫌疑及其他違法行為,而有保存之必要者外,至遲應於攝錄完畢時起一年內銷毀之。
  • PCIDSS
    • 9.1.1 - 使用攝像機監視敏感區域。審計收集到的資料,並與其他入口(的資料)相關聯。(資料)至少保存三個月,除非法律另作限制
  • Oracle雲端服務
    • 根據設施功能、風險等級和地方法律,其門禁系統日誌和CCTV錄影的保存期限為30至90天。
    • Preventive Controls
  • Microsoft雲端服務
    • 監控錄影至少保存90天,除非地方法律有其他規定。
    • monitoring
  • AWS雲端服務
    • 根據法律與合規要求進行保留。
    • CCTV

衡量的兩端方向

規範使用方法論

  • 規定性方法 (Prescriptive Approach)
    • 優先考慮的是在事後調查時,能確保證據的可用性與完整性。
      • 支付卡產業資料安全標準(PCI DSS)要求至少保存90天的規定
  • 原則性方法 (Principle-Based Approach)
    • 不提供具體的時限
    • 要求組織建立一套結構化的風險管理框架,自行定義符合其特定需求的政策。它強調彈性、適當性與比例原則,確保資料保存策略能因應組織所面臨的獨特法律、業務及隱私環境。
    • 要求其決策過程必須有理有據且文件化
      • ISO/IEC 27001資訊安全管理系統
      • 歐盟的GDPR

保存長短要求

  • 安全為導向
    • 為了確保事件應對與調查的有效性,傾向於要求「更長」的資料保存期限
    • 影像記錄被視為關鍵的鑑識資產,能夠協助組織追溯事件的根本原因、進行損害評估,並防止未來類似事件的發生。
  • 隱私為導向
    • 「資料最小化」或「儲存限制」原則,要求資料保存期限應「盡可能短」
    • 降低對個人資料權利所構成的風險。

常見國際標準比較

標準/法規核心方法具體時限要求主要目標
ISO/IEC 27001原則性組織依風險評鑑決定建立資訊安全管理系統(ISMS)
PCI DSS規定性敏感區域至少保存90天保護持卡人資料,資料存放及使用「敏感區域」
GDPR原則性不得超過達成目的之必要時間保護個人的基本權利與資料隱私
SOC 2原則性稽核組織自行制定政策驗證服務組織對安全性、可用性等原則的控制措施

可能發生誤傳的翻譯用字

  • 沙賓法案
    • Section 802 of the Sarbanes-Oxley Act & SEC Rule 17a-4
      • ….相關影像包含電子郵件、通訊紀錄等電子形式)必須保存至少7年。
  • HIPAA
    • § 164.316(b)(2)(i) (安全規則) & § 164.530(j)(2) (隱私規則)
      • 政策、程序、行動、評估和溝通的書面或電子紀錄,從其創建日期或最後生效日期起,至少保存六年。
    • 醫療影像
      • 美國各州自行訂立,5-10年
    • NISPOM 美國國防工業安全規定
      • § 117.15(e)(4) - Visitor records (訪客記錄),1年
  • 資通安全責任等級分級辦法
    • 附表十 資通系統防護基準
      • 資安法常見問題 - 4.12 資通安全責任等級分級辦法附表十所要求資通系統應保存日誌(log)之項目為何?
      • 各機關於日常維運資通系統時,應訂定日誌之記錄時間週期及留存政策,並保留日誌至少6個月,其保存項目建議如下:
        • 作業系統日誌(OS event log)
        • 網站日誌(web log)
        • 應用程式日誌(AP log)
        • 登入日誌(logon log)
      • 另為確保資通安全事件發生時,各機關所保有跡證足以進行事件根因分析,相關日誌紀錄建議定期備份至與原日誌系統不同之實體,詳參國家資通安全研究院網站發布之「資通系統防護基準驗證實務」2.2.1.記錄事件章節之內容

ISO 風險管理框架

執行範例

  flowchart LR

A[風險評鑑]
B[風險處理]
C[文件化]
D[PDCA持續確認]
E[考量是否有不同法規政策遵循,需要辦理分層存放]

A --> B
B --> C
C --> D
B <--> E
E --> C

分層範例

  • 第一層: 公開活動區域
    • 保存期限:30天
    • 說明:考量民眾隱私保護較高,並參考警方民眾糾紛處理調閱需求,遵循資料最小化原則,僅在發生特定事件時才另外延長保存。
  • 第二層: 辦公區域
    • 保存期限:60天
    • 說明:資產失竊的高風險區域,過去發生到查閱最大需求時間。
  • 第三層:租借金融機關樓層
    • 保存期限:60天
    • 說明:因應PCI DSS要求
  • 第四層:電信業者租用機房營運使用區域。
    • 保存期限:180天
    • 說明:租借電信業者營運,因應電信事業資通安全管理辦法。
規定討論

Index

tags

ISMS 4  廠商 2  規定討論 2  資安宣導 2  資安規定 2 

Search