Bộ Khoa học và Công nghệ MINISTRY OF SCIENCE AND TECHNOLOGY

Ban hành quy định kiểm toán kỹ thuật đối với chữ ký điện tử và dịch vụ tin cậy: Bảo đảm an toàn, nâng cao niềm tin trong không gian số

<p style="text-align: justify;">Bộ Khoa học và Công nghệ vừa ban hành Thông tư quy định về kiểm toán kỹ thuật đối với chữ ký điện tử và dịch vụ tin cậy, nhằm tăng cường công tác quản lý, đảm bảo an toàn, tính minh bạch và độ tin cậy của các hoạt động giao dịch điện tử trong bối cảnh chuyển đổi số quốc gia.</p><p style="text-align: justify;"></p>

Thông tư là căn cứ pháp lý quan trọng để chuẩn hóa quy trình kiểm toán kỹ thuật, bảo đảm rằng các hệ thống, tổ chức cung cấp và sử dụng chữ ký điện tử đều tuân thủ các tiêu chuẩn kỹ thuật, an toàn thông tin, góp phần củng cố niềm tin của người dân, doanh nghiệp và cơ quan quản lý trong môi trường giao dịch số.

Theo quy định, Thông tư này áp dụng cho các tổ chức, cá nhân tham gia hoặc có liên quan đến hoạt động kiểm toán kỹ thuật đối với hệ thống thông tin, quy trình cung cấp dịch vụ chữ ký điện tử bảo đảm an toàn, chứng thư chữ ký điện tử bảo đảm an toàn, chữ ký số, chứng thư chữ ký số và các dịch vụ tin cậy khác.

Đặc biệt, các cơ quan, tổ chức tạo lập và sử dụng chữ ký điện tử bảo đảm an toàn được khuyến khích chủ động thực hiện kiểm toán kỹ thuật để tự đánh giá mức độ tuân thủ và an toàn của hệ thống, quy trình cung cấp dịch vụ. Đây là bước chuyển quan trọng, thể hiện tinh thần chủ động phòng ngừa rủi ro an ninh mạng thay vì chỉ xử lý sự cố khi xảy ra vi phạm.

Các tổ chức cung cấp dịch vụ tin cậy bắt buộc thực hiện kiểm toán kỹ thuật định kỳ hai năm một lần, đảm bảo hệ thống và quy trình cung cấp dịch vụ luôn được duy trì trong trạng thái an toàn, ổn định và đáp ứng yêu cầu kỹ thuật theo chuẩn quốc gia.

Các cơ quan, tổ chức tạo lập, sử dụng chữ ký điện tử bảo đảm an toàn và chứng thư chữ ký điện tử bảo đảm an toàn được khuyến khích chủ động thực hiện kiểm toán kỹ thuật

Theo Thông tư, căn cứ đánh giá của kiểm toán kỹ thuật là các yêu cầu cụ thể đối với hệ thống thông tin và quy trình cung cấp dịch vụ được quy định tại quy chuẩn kỹ thuật, tiêu chuẩn kỹ thuật và yêu cầu kỹ thuật áp dụng cho chữ ký điện tử, chứng thư điện tử và các dịch vụ tin cậy.

Hoạt động kiểm toán kỹ thuật được thực hiện theo hai giai đoạn chính: Đánh giá thông tin, tài liệu trong quá trình lập kế hoạch và đánh giá thực tế tại tổ chức được kiểm toán. Mọi nội dung phải đảm bảo khách quan, minh bạch, đúng kế hoạch và phạm vi đã thống nhất trước đó.

Thời hạn cho một cuộc kiểm toán tối đa là 6 tháng, trong trường hợp cần thiết có thể gia hạn thêm tối đa 45 ngày để hoàn thiện các hành động khắc phục. Sau khi kết thúc, căn cứ kết quả đánh giá và hành động khắc phục (nếu có), tổ chức kiểm toán sẽ xem xét cấp giấy chứng nhận kèm theo Báo cáo kiểm toán kỹ thuật cho tổ chức được kiểm toán. Nếu không đạt yêu cầu, đơn vị kiểm toán phải thông báo bằng văn bản, nêu rõ lý do và gửi kèm báo cáo kiểm toán kỹ thuật.

Thông tư cũng quy định chi tiết nội dung bắt buộc trong Báo cáo kiểm toán kỹ thuật, bao gồm: Thông tin chung về cuộc kiểm toán, thời gian thực hiện, phương thức đánh giá, kết quả phân tích rủi ro bảo mật thông tin, kết quả kiểm thử hệ thống, cùng các khuyến nghị kỹ thuật và căn cứ ra quyết định chứng nhận.

Các tổ chức cung cấp dịch vụ tin cậy phải gửi Báo cáo kiểm toán kỹ thuật về Bộ Khoa học và Công nghệ, thông qua Trung tâm Chứng thực điện tử quốc gia (NEAC) đơn vị đầu mối tổng hợp, theo dõi và phục vụ công tác quản lý nhà nước.

Việc báo cáo định kỳ không chỉ giúp đánh giá thực trạng vận hành của các tổ chức cung cấp dịch vụ tin cậy, mà còn tạo cơ sở dữ liệu thống nhất phục vụ hoạch định chính sách, quản lý rủi ro và hỗ trợ các cơ quan nhà nước trong việc nâng cao chất lượng, an toàn của hạ tầng giao dịch số quốc gia.

Thông tư quy định, tổ chức kiểm toán kỹ thuật có trách nhiệm thực hiện quyền và nghĩa vụ theo quy định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật; bảo đảm độc lập, khách quan và tuân thủ đầy đủ quy trình kiểm toán kỹ thuật theo quy định về chất lượng sản phẩm, hàng hóa và an toàn thông tin mạng.

Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia thuộc Bộ Khoa học và Công nghệ là đầu mối tiếp nhận, thẩm định hồ sơ đăng ký chỉ định tổ chức kiểm toán kỹ thuật và trình Bộ trưởng Bộ Khoa học và Công nghệ ra quyết định chỉ định các tổ chức đủ điều kiện năng lực, phù hợp với pháp luật về tiêu chuẩn và chất lượng.

Trong khi đó, Trung tâm Chứng thực điện tử quốc gia có trách nhiệm tiếp nhận, tổng hợp báo cáo kiểm toán kỹ thuật từ các tổ chức được kiểm toán, định kỳ báo cáo Bộ trưởng Bộ Khoa học và Công nghệ để phục vụ công tác quản lý nhà nước đối với hoạt động cung cấp dịch vụ tin cậy.

Việc ban hành Thông tư về kiểm toán kỹ thuật đối với chữ ký điện tử và dịch vụ tin cậy được xem là bước hoàn thiện quan trọng trong hành lang pháp lý quốc gia về an toàn thông tin, xác thực điện tử và chuyển đổi số.

Thông tư góp phần chuẩn hóa hệ thống đánh giá độc lập, tăng cường kiểm soát rủi ro, nâng cao năng lực tự chủ về công nghệ, đồng thời tạo niềm tin số cho người dùng trong quá trình giao dịch, ký kết và trao đổi dữ liệu điện tử.

Thông tư có hiệu lực thi hành từ ngày 01/01/2026, đánh dấu một bước tiến mới trong quản lý kỹ thuật và bảo đảm an toàn tin cậy cho hạ tầng chữ ký điện tử quốc gia, hướng tới mục tiêu xây dựng chính phủ số, kinh tế số và xã hội số an toàn, minh bạch và phát triển bền vững.