校园通APP七大缺失 新北市教育局:皆已改善
新北市审计处指「新北校园通APP」潜藏资安疑虑等7大缺失,新北市教育局表示皆已改善。(摘自新北校园通APP/陈慰慈新北传真)
下载数超过50万人次的「新北校园通APP」,方便新北市教师、学生及家长取得学校资讯,新北市审计处报告指出,APP潜藏资安疑虑等7大缺失。新北市教育局对此回应,APP已取得资安检测合格证明标章,有效期至明年2月1日,缺失皆已改善,师生资料无资安疑虑。
教育局2017年起建置「新北校园通APP」,并于每学年度委外维护系统,111学年度决标金额1454万余元,但审计处发现,该APP有7大缺失,包括更新版本后,未重新申请取得资安检测合格证明标章,潜存资安风险;核心资通系统及网站经资讯中心发现具严重或高风险弱点,未完成改善。
部分软体资产未纳入资讯及资通系统资产清册;部分学校仍以自行委外开发的资通系统维运学生学习历程档案;未落实核心资通系统持续运作的演练计划。
另有离职人员帐号未移除;教育局订定各级学校资通安全维护计划范本,缺漏部分装置使用管理原则,仍未臻周全,且稽查发现学校资通安全缺失,未依规定要求提出改善报告,亦未改善、复查缺失。
对此,教育局说明,今年度弱点扫描初测结果,核心资通系统的国中小校务行政、高中职校务行政,皆无中风险等级以上弱点,资讯资产评鉴表也已于6月5日确认完成更新。
另8月1日起,全市学校学习历程皆上传至局端学习历程系统,符合资安责任等级D级,去年因部分演练情境存在影响正常服务安全之虞,因此并未建立实际威胁情境,今年已提升模拟情境真实性,确保应变流程完整性。
校务行政系统的使用者帐号则依据「到离职单程序」办理「帐号新增或移除」,前年起已定期清查教育局内人员帐号,并于当年度完成离职人员帐号移除作业,且所有学校已完成新版资通安全维运计划书,并上传至校园资通安全业务管理系统。