校園通APP七大缺失 新北市教育局:皆已改善
新北市審計處指「新北校園通APP」潛藏資安疑慮等7大缺失,新北市教育局表示皆已改善。(摘自新北校園通APP/陳慰慈新北傳真)
下載數超過50萬人次的「新北校園通APP」,方便新北市教師、學生及家長取得學校資訊,新北市審計處報告指出,APP潛藏資安疑慮等7大缺失。新北市教育局對此迴應,APP已取得資安檢測合格證明標章,有效期至明年2月1日,缺失皆已改善,師生資料無資安疑慮。
教育局2017年起建置「新北校園通APP」,並於每學年度委外維護系統,111學年度決標金額1454萬餘元,但審計處發現,該APP有7大缺失,包括更新版本後,未重新申請取得資安檢測合格證明標章,潛存資安風險;核心資通系統及網站經資訊中心發現具嚴重或高風險弱點,未完成改善。
部分軟體資產未納入資訊及資通系統資產清冊;部分學校仍以自行委外開發的資通系統維運學生學習歷程檔案;未落實核心資通系統持續運作的演練計劃。
另有離職人員帳號未移除;教育局訂定各級學校資通安全維護計劃範本,缺漏部分裝置使用管理原則,仍未臻周全,且稽查發現學校資通安全缺失,未依規定要求提出改善報告,亦未改善、複查缺失。
對此,教育局說明,今年度弱點掃描初測結果,核心資通系統的國中小校務行政、高中職校務行政,皆無中風險等級以上弱點,資訊資產評鑑表也已於6月5日確認完成更新。
另8月1日起,全市學校學習歷程皆上傳至局端學習歷程系統,符合資安責任等級D級,去年因部分演練情境存在影響正常服務安全之虞,因此並未建立實際威脅情境,今年已提升模擬情境真實性,確保應變流程完整性。
校務行政系統的使用者帳號則依據「到離職單程序」辦理「帳號新增或移除」,前年起已定期清查教育局內人員帳號,並於當年度完成離職人員帳號移除作業,且所有學校已完成新版資通安全維運計劃書,並上傳至校園資通安全業務管理系統。