▲監察院糾正教育部國教署。(資料照/記者李毓康攝)
記者呂晏慈/台北報導
去年教育部國教署「學習歷程」雲端資料因委外單位嚴重疏失,釀81校、7854位學生、2萬5210件檔案資料全數遺失,且國教署沒有資通安全單位,導致8000餘萬元鉅額公帑虛擲並衍生資安破口,引發社會譁然。監察院今(17日)表示,通過監委葉大華、葉宜津、王麗珍、賴鼎銘、張菊芳的調查報告,糾正教育部國教署,並應追究相關失職人員及委外團隊責任。
國教署委託國立暨南大學建置維運「學習歷程公版模組」,去年發生因為未落實標準作業程序、操作人員於移轉學生學習資料過程中參數設定錯誤,又未即時啟動備份機制,釀成81校、7854位學生、2萬5210件檔案資料遺失。
監委葉大華等人調查發現,國教署委託暨南大學建置及維運「高級中等學校學習歷程公版模組」,歷年共計編列8495萬8000元經費,建置中央雲端備份中心、資安事件中央監控中心,並辦理向上集中虛擬主機租用、增購雲端備份設備,另更於2021年進行系統功能優化工作,惟於該年9月仍發生學習檔案資料遺失而難以補救的狀況。
監察院指出,顯見國教署未能督導委外單位落實資料庫每日硬碟平台快照、完整備份、差異備份、同步備援及定期還原演練等標準作業流程,對攸關學生學習表現資料蒐集及利用,長期有業務督導不周、系統維運能量不足之缺失,造成多校師生需耗費額外時間及資源,進行事後確認及補救工作,且未確實評估學生因本事件所受影響,據以提供補償措施,有負各界對於重大教育政策之信任,損及政府形象與公信力,核有重大違失。
監察院質疑,國教署耗費鉅額公帑委託暨南大學開發公版模組,仍無法符合各類校務行政系統使用者之需求,自111年1月底起停止服務,致已採用公版模組之395所學校,必須再度進行系統轉換,未符資通安全責任等級規定,且各校資通安全事件頻仍,任由學校端負責儲存含有學生個人機敏資料的學習歷程檔案資料,極易衍生資通安全風險。
調查報告也指出,教育部暨國教署掌管全國高級中等以下學校教育事務,然未盡重視資通安全專業人才之培育,《資通安全管理法》於2018年6月6日公布後迄本事件發生已逾3年,惟該署尚無配置妥適質量之專業人力,且資通安全內部檢核及異常管理機制迄未周全,國教署僅得以行政協助方式委託暨南大學,建置攸關重要教育政策之資訊系統,惟於維運量能不足下易衍生資通安全風險。行政院及教育部應積極評估國教署設立資通(安)專責單位的必要性。
此外,監委認為,教育部於2021年9月26日召開記者會說明本事件發生經過及補救措施,雖已引發媒體報導及社會關注,然經調查本事件肇因於權責單位專業人力及資安素養不足,未落實資通操作覆核之安全機制及標準作業流程。
監委要求教育部,除應依契約規定追究暨南大學行政協助應負責任或補償之外,行政院也應以此案例為鑑,落實強化政府單位依「資通安全管理法」落實相關工作及宣導,並加強高階主管人員資通安全素養。
讀者迴響