investor relations

投資人關係

資訊安全管理政策

泓德能源科技股份有限公司 「資訊安全管理政策 」為資通安全管理作業最高指導原則，參照ISO 27001標準，採用 「Plan-Do-Check-Act 」（PDCA）之循環運作模式建立資訊安全管理系統，以確保資訊安全作業能順利運作，並維繫其有效運作與持續改進。

泓德能源科技承諾並落實以下資訊安全管理政策：

• 為使本公司資訊安全管理制度能有效傳達至各關注方，將資訊安全政策及其程序公告於容易取得閱覽之處（如官方網站、內部入口、合約…等）
• 為使本公司資訊安全作業管理相關規範能有效傳達至外部人員，應確保全體員工、約（聘）僱人員及委外服務廠商了解其執行各項服務時，須遵守本公司各項資訊安全作業管理要求
• 資訊安全委員會應每年至少評估一次資訊安全政策及管理規範，並於重大環境（含氣候變遷）、組織變更、主要服務異動或發生重大資安事件時執行評估變更，以反映政府法令、資訊科技及公司業務等最新發展狀況，確保資訊安全實務作業之有效性。

資訊安全架構

泓德能源設有資訊處及資安推動組，負責規劃、執行、監督和改善資訊安全管理。在系統伺服器、作業系統、網路系統等各方面建構了層層管制和防護機制，防範災變、資料損毀及機密失竊等情況。若發生資安事件，公司也設有資訊安全事件緊急應變計畫，以確保能夠為正常營運。此外，泓德能源也重視實體環境安全，以及防止公司資訊被惡意外流、竊取並記錄的風險。

泓德能源已投入預算於資訊安全管理，以進一步確保資訊安全的完善性，降低駭客入侵與系統遭攻擊的風險。為降低網路安全風險及維護公司和客戶資料安全，我們近年來已陸續建置相關的資安管理機制，透過資訊安全權責單位制定資通安全政策，持續透過跨部門的合作，貫徹公司資訊安全政策、保護及處理ISO文件；並定期向董事會報告執行情形，以確保公司的資訊使用安全，維護可信賴的資訊使用環境，2025 年未發生重大資訊安全事件。

於自2023年設立資訊安全專責主管與專責人員，共配置6位資安相關人員協助資安工作，除每月定期與高層主管匯報資安執行狀況外，亦納入主管季報及於每年Q4與董事會呈報，2025全年資安相關會議與審查次數累計超過12場。

資訊安全委員會架構

資訊安全委員會工作職掌

資訊安全事件應變措施

資訊安全具體方案

• 2024導入ISO 27001(2022版)資訊安全管理系統，制定內部管理方案，結合PDCA進行持續改進，並取得第三方驗證，有效期限為2024/12/10~2027/12/09。
• 加入TWCERT/CC等聯防組織收集資安情資，檢視內部軟硬體系統是否有風險以進行後續措施。
• 定期於每季或於系統上線時，進行系統弱點掃描，將較高風險之漏洞進行軟、韌體更新以進行修補。
• 定期檢視政令、法規面、內外部風險，於必要時修訂資安政策及管理方案，以符合利害關係人期望。
• 關鍵系統定期進行BCP(企業持續營運計畫)演練，確保於重大資安事件時系統可正常使用。
• 提昇同仁資安意識:
  • 新進員工入職進行基礎資訊安全訓練。
  • 集團每年度進行全體員工資安教育訓練，並於課後進行測驗，參與率及通過率皆為100%，2025累積時數為500小時。
  • 每年進行2次社交工程演綀，並對於日常情境進行設計，2025點擊率為1.7%，對於有點擊者再進行教育訓練。
  • 對於近期常發生的資安或詐驗事件進行不定期進行資安宣導，2025年累積進行8次，以及進行修補系統漏洞。