監院糾正國教署 委外遺失81校2萬餘件學生學習歷程檔案 要求究責

(台北新聞)【記者潘明賜/台北報導】教育部國教署委託國立暨南大學建置維運「學習歷程公版模組」,因單位未落實標準作業程序、操作人員於移轉學生學習資料過程中參數設定錯誤,又未即時啟動備份機制,釀成81校、7,854位學生、2萬5,210件檔案資料遺失;國教署有業務督導不周、系統維運能量不足之缺失,導致8, 000餘萬元鉅額公帑虛擲並衍生資安破口,政府資安專業能力及素養遭到嚴重質疑,有重大違失。監察院今(17)日發布新聞指出,監院通過葉大華、葉宜津、王麗珍、賴鼎銘、張菊芳等委員之調查報告,糾正教育部國教署,並應追究相關失職人員及委外團隊責任。行政院及教育部也應積極評估國教署設立資通(安)專責單位之必要性。

監委也認為,教育部於110年9月26日召開記者會,說明此事件發生經過及補救措施,雖已引發媒體報導及社會關注,然經調查此事件肇因於權責單位專業人力及資安素養不足,未落實資通操作覆核之安全機制及標準作業流程。教育部除應依契約規定追究暨南大學行政協助應負之責任或補償外,行政院宜以此案例為鑑,落實強化政府單位依資通安全管理法落實相關工作及宣導,並加強高階主管人員資通安全素養。

監察院表示,教國民及學前教育署自106年起,依據「高級中等學校學生學習歷程檔案作業要點」,以行政協助方式委託暨南大學開發「學習歷程公版模組」,建置高級中等教育階段學生學習歷程資料庫。但因資料移轉過程中,暨大未落實標準作業程序、操作人員參數設定錯誤、重開機後硬碟資料被還原、移機過程又未即時啟動備份機制,肇生110年9月5日至同年月22日期間,共計81校、7,854位學生上傳至「學習歷程公版模組」之「課程學習成果」9,793件及「多元表現」1萬5,417件,總計2萬5,210件檔案遺失且無法挽救,核有重大違失。

監委葉大華等人調查發現,國教署委託暨南大學建置及維運「高級中等學校學習歷程公版模組」,歷年共計編列8,495萬8,000元經費,建置中央雲端備份中心、資安事件中央監控中心,並辦理向上集中虛擬主機租用、增購雲端備份設備,另更於110年度進行系統功能優化工作,但該年9月仍發生學習檔案資料遺失而難以補救之情事。顯見國教署未能督導委外單位落實資料庫每日硬碟平臺快照、完整備份、差異備份、同步備援及定期還原演練等標準作業流程,對攸關學生學習表現資料蒐集及利用,長期有業務督導不周、系統維運能量不足之缺失,造成多校師生需耗費額外時間及資源,進行事後確認及補救工作,且未確實評估學生因本事件所受影響,據以提供補償措施,有負各界對於重大教育政策之信任,損及政府形象與公信力,核有重大違失。

審計部查核報告也指出,國教署辦理資通安全業務核有未盡職責、效能過低及潛在風險等情事。尤其國教署耗費鉅額公帑委託暨南大學開發公版模組,仍無法符合各類校務行政系統使用者之需求,自111年1月底起停止服務,致已採用公版模組之395所學校,必須再度進行系統轉換,未符資通安全責任等級規定。而且各校資通安全事件頻仍,任由學校端負責儲存含有學生個人機敏資料之學習歷程檔案資料,極易衍生資通安全風險。國教署鉅額公帑虛擲並衍生資安破口,造成政府資安專業能力及素養遭到嚴重質疑,實有未當。監委促請國教署應就開發公版模組卻又停止服務之不符預期效益情事,確實檢討改進,並就補助或委託辦理系統開發及維運案件,強化可行性評估機制,並確實協助各校加強測試檔案上傳至學習歷程中央資料庫之鏈結情形,保障學生權益。

調查報告也指出,教育部暨國教署掌管全國高級中等以下學校教育事務,然未盡重視資通安全專業人才之培育,致資通安全管理法於107年6月6日公布後迄此事件發生已逾3年,但該署尚無配置妥適質量之專業人力,且資通安全內部檢核及異常管理機制迄未周全,國教署僅得以行政協助方式委託暨南大學,建置攸關重要教育政策之資訊系統,但在維運量能不足下易衍生資通安全風險。行政院及教育部應積極評估國教署設立資通(安)專責單位之必要性。