校园通APP七大缺失 新北市教育局：皆已改善

新北市审计处指「新北校园通APP」潜藏资安疑虑等7大缺失，新北市教育局表示皆已改善。（摘自新北校园通APP／陈慰慈新北传真）

下载数超过50万人次的「新北校园通APP」，方便新北市教师、学生及家长取得学校资讯，新北市审计处报告指出，APP潜藏资安疑虑等7大缺失。新北市教育局对此回应，APP已取得资安检测合格证明标章，有效期至明年2月1日，缺失皆已改善，师生资料无资安疑虑。

教育局2017年起建置「新北校园通APP」，并于每学年度委外维护系统，111学年度决标金额1454万余元，但审计处发现，该APP有7大缺失，包括更新版本后，未重新申请取得资安检测合格证明标章，潜存资安风险；核心资通系统及网站经资讯中心发现具严重或高风险弱点，未完成改善。

部分软体资产未纳入资讯及资通系统资产清册；部分学校仍以自行委外开发的资通系统维运学生学习历程档案；未落实核心资通系统持续运作的演练计划。

另有离职人员帐号未移除；教育局订定各级学校资通安全维护计划范本，缺漏部分装置使用管理原则，仍未臻周全，且稽查发现学校资通安全缺失，未依规定要求提出改善报告，亦未改善、复查缺失。

对此，教育局说明，今年度弱点扫描初测结果，核心资通系统的国中小校务行政、高中职校务行政，皆无中风险等级以上弱点，资讯资产评鉴表也已于6月5日确认完成更新。

另8月1日起，全市学校学习历程皆上传至局端学习历程系统，符合资安责任等级D级，去年因部分演练情境存在影响正常服务安全之虞，因此并未建立实际威胁情境，今年已提升模拟情境真实性，确保应变流程完整性。

校务行政系统的使用者帐号则依据「到离职单程序」办理「帐号新增或移除」，前年起已定期清查教育局内人员帐号，并于当年度完成离职人员帐号移除作业，且所有学校已完成新版资通安全维运计划书，并上传至校园资通安全业务管理系统。