校園通APP七大缺失 新北市教育局：皆已改善

新北市審計處指「新北校園通APP」潛藏資安疑慮等7大缺失，新北市教育局表示皆已改善。（摘自新北校園通APP／陳慰慈新北傳真）

下載數超過50萬人次的「新北校園通APP」，方便新北市教師、學生及家長取得學校資訊，新北市審計處報告指出，APP潛藏資安疑慮等7大缺失。新北市教育局對此迴應，APP已取得資安檢測合格證明標章，有效期至明年2月1日，缺失皆已改善，師生資料無資安疑慮。

教育局2017年起建置「新北校園通APP」，並於每學年度委外維護系統，111學年度決標金額1454萬餘元，但審計處發現，該APP有7大缺失，包括更新版本後，未重新申請取得資安檢測合格證明標章，潛存資安風險；核心資通系統及網站經資訊中心發現具嚴重或高風險弱點，未完成改善。

部分軟體資產未納入資訊及資通系統資產清冊；部分學校仍以自行委外開發的資通系統維運學生學習歷程檔案；未落實核心資通系統持續運作的演練計劃。

另有離職人員帳號未移除；教育局訂定各級學校資通安全維護計劃範本，缺漏部分裝置使用管理原則，仍未臻周全，且稽查發現學校資通安全缺失，未依規定要求提出改善報告，亦未改善、複查缺失。

對此，教育局說明，今年度弱點掃描初測結果，核心資通系統的國中小校務行政、高中職校務行政，皆無中風險等級以上弱點，資訊資產評鑑表也已於6月5日確認完成更新。

另8月1日起，全市學校學習歷程皆上傳至局端學習歷程系統，符合資安責任等級D級，去年因部分演練情境存在影響正常服務安全之虞，因此並未建立實際威脅情境，今年已提升模擬情境真實性，確保應變流程完整性。

校務行政系統的使用者帳號則依據「到離職單程序」辦理「帳號新增或移除」，前年起已定期清查教育局內人員帳號，並於當年度完成離職人員帳號移除作業，且所有學校已完成新版資通安全維運計劃書，並上傳至校園資通安全業務管理系統。