資安報告
Information Security
資訊安全管理系統
牧陽能控資訊安全管理使命為「以綠色概念為主期許發展成為綠能界的牧陽(羊)人,為地球環保盡一份心力,讓Green Shepherd bring you Green Life !」。強調綠能科技與生活的結合,致力提供再生能源系統整合服務。全面導入資訊安全管理機制,確保資訊處理之正確性與可用性、以及資訊相關系統、設備與網路安全性以提高數位化過程效率、提升資安防護機制、降低資安威脅、打造安全可信賴的專業服務。定期執行資訊安全的內部演練與教育訓練,提升同仁對於資安的意識及警覺性。
資訊安全政策
為使牧陽能控有限公司(以上簡稱本公司)資訊安全管理系統能貫徹執行、有效運作、監督管理、持續進行,維護本公司重要資訊系統的機密性、完整性與可用性,並符合相關法規之要求。本政策旨在讓同仁於日常工作時有一明確指導原則,所有同仁皆有義務積極參與推動資通安全管理政策,以確保本公司所有職員、資料、資訊系統、設備及網路之安全維運,並期許全體同仁均能了解、實施與維持,以達資訊持續營運的目標。
資訊安全管理組織
本公司113年度通過設置資安專職單位及資安長。下設資訊安全小組、內部稽核小組。管理公司資安事宜、統籌資安政策、資安標準相關驗證與稽核工作,資安機制落實執行與驗證資安執行成果,提升資安水準,定期彙報相關風險、議題及管理成效。
資訊安全委員會每半年召開一次,必要時得召開臨時會。
資安風險管理
為使牧陽能控有限公司各項資訊資產之機密性、完整性、可用性等三項資訊資產價值因子進行資訊資產評價,確保執行各項資訊資產管理之作業,均能滿足本公司之需求避免因人為疏失、蓄意或自然災害等風險所造成之傷害。內部建立資安事件通報程序,從事件發生、狀況評估、應變機制、通報單位等。皆建立專責人員執行,並持續深化同仁資安意識,提升資安事件警覺性,提升資安事件處置效率。依照ISO 27001 定義事件相關等級與相關規定。
影響等級 |
機密性 |
完整性 |
可用性 |
| 1級 |
非核心業務資料遭輕微洩漏 |
非核心業務資訊或非核心資通系統遭輕微竄改 |
非核心業務運作受影響或停頓,於可容忍中斷時間內回復正常運作,造成公司日常作業影響 |
| 2級 |
非核心業務資訊遭嚴重洩漏,或未涉及關鍵基礎設施維運之核心業務資訊遭輕微洩漏 |
非核心業務資訊或非核心資通系統遭嚴重竄改,或未涉及資通訊技術之核心業務資訊或核心資通系統遭輕微竄改 |
非核心業務之運作受影響或停頓,無法於可容忍中斷時間內回復正常運作,或未涉及資通訊技術之核心業務或核心資通系統之運作影響或停頓,於可容忍中斷時間內回復正常運作 |
| 3級 |
未涉及資通訊技術之核心業務資訊遭嚴重洩漏,或一般公務機密、敏感資訊或涉及資通訊技術之核心業務資訊遭輕微洩漏 |
未涉及資通訊技術之核心業務資訊或核心資通系統遭嚴重竄改,或一般公務機密、敏感資訊、涉及資通訊技術之核心業務資訊或核心資通系統遭輕微竄改。 |
未涉及資通訊技術之核心業務或核心資通系統之運作受影響或停頓,無法於可容忍中斷時間內回復正常運作,或涉及資通訊技術之核心業務或核心資通系統之運作受影響或停頓,於可容忍中斷時間內回復正常運作 |
| 4級 |
一般公務機密、敏感資訊或涉及資通訊技術之核心業務資訊遭嚴重洩漏,或國家機密遭洩漏 |
一般公務機密、敏感資訊、涉及資通訊技術之核心業務資訊或核心資通系統遭嚴重竄改,或國家機密遭竄改 |
涉及資通訊技術之核心業務或核心資通系統之運作受影響或停頓,無法於可容忍中斷時間內回復正常運作 |
資安事件作業流程
Google API 服務使用者資料政策揭露
Google User Data Policy Disclosure
本公司依據
Google API 服務使用者資料政策,揭露本公司應用程式(含 ONE UI 後台管理介面、營運管理雲、電廠維運雲等系統)於使用者「以 Google 帳號登入」時,存取、使用、儲存、分享 Google 使用者資料之政策。
Google Cloud 專案:greenshepherdcomtw(Project Number: 219264788569)|
最後更新:2026 年 5 月 15 日
1. 存取的資料(OAuth Scopes)
本應用程式僅請求登入用途所需之最小範圍,全數屬 Google 定義之「非敏感範圍」(Non-sensitive scopes):
| OAuth Scope |
存取的資料項目 |
openid | Google 帳號唯一識別碼(sub) |
.../auth/userinfo.email | 電子郵件地址及驗證狀態 |
.../auth/userinfo.profile | 公開的姓名、頭像連結、語系 |
本應用程式不存取使用者之 Gmail、Drive、Calendar、Contacts、YouTube、Photos 或任何其他 Google 服務之資料。
2. 資料使用方式
- 身份驗證與帳號對應:完成單一登入(SSO),對應本公司既有員工/客戶資料。
- 介面個人化:於後台介面顯示使用者姓名與頭像。
- 稽核紀錄:依 ISO 27001 ISMS 要求保留登入存取稽核軌跡。
不使用於:廣告投放、銷售予第三方、訓練通用化 AI/ML 模型、信用評等、人物剖析等。
3. 資料儲存與保護
- 儲存位置:Google Cloud Platform(asia-east1/asia-northeast1)之 Cloud SQL 與 Datastore。
- 傳輸保護:全站強制 HTTPS/TLS 1.2 以上;OAuth 採 Authorization Code Flow with PKCE。
- 靜態加密:Google Cloud AES-256 encryption at rest。
- 資安管理:本公司已取得 ISO/IEC 27001:2022 驗證(見本頁上方資安管理系統章節)。
4. 資料分享
本公司不將 Google 使用者資料出售或轉讓予第三方。僅於下列情境分享:Google Cloud Platform 基礎建設、具授權之內部系統管理員(最小權限原則)、依法律命令之主管機關。
5. 資料保留與刪除
- 使用者帳號活躍期間,相關資料持續保留。
- 使用者撤銷授權或要求刪除帳號後,30 個工作日內移除(法定保存義務之稽核紀錄保留 5 年除外)。
- 連續 6 個月未登入者,主動撤銷 Refresh Token。
6. 使用者權利
您可隨時於 Google 帳號權限管理頁面撤銷對本公司應用程式之授權,亦可來信申請查詢、更正、刪除您於本系統之個人資料。
7. AI/機器學習聲明
本公司不將 Google OAuth 取得之使用者資料用於訓練、改良或調校任何通用化 AI/ML 模型,亦不傳送予第三方 AI 服務供應商作為訓練語料。
8. 聯絡方式
