Siết chặt tiêu chuẩn an toàn với dịch vụ tin cậy qua kiểm toán kỹ thuật định kỳ

Theo quy định mới, mọi tổ chức cung cấp dịch vụ tin cậy, bao gồm dịch vụ chứng thực chữ ký số công cộng, chứng thực hợp đồng điện tử, lưu trữ dữ liệu tin cậy và các dịch vụ chứng thực khác phải thực hiện kiểm toán kỹ thuật định kỳ hai năm một lần.

Thông tư áp dụng cho tất cả các tổ chức, cá nhân tham gia hoặc có liên quan đến hoạt động kiểm toán kỹ thuật hệ thống thông tin, dịch vụ chữ ký điện tử, chữ ký số và dịch vụ tin cậy. Các cơ quan, tổ chức sử dụng chữ ký điện tử bảo đảm an toàn cũng được khuyến khích chủ động kiểm toán định kỳ, nhằm đánh giá mức độ an toàn hệ thống, quy trình cung cấp và quản lý dữ liệu.

Mục tiêu của quy định là chuẩn hóa và nâng cao chất lượng dịch vụ tin cậy, đồng thời giúp cơ quan quản lý nắm bắt chính xác tình hình vận hành, phát hiện sớm rủi ro tiềm ẩn trong hạ tầng kỹ thuật và bảo mật thông tin.

Căn cứ kiểm toán được xác định theo các quy chuẩn, tiêu chuẩn và yêu cầu kỹ thuật về chữ ký điện tử, chứng thư điện tử, chữ ký số và các dịch vụ tin cậy.

Hoạt động kiểm toán kỹ thuật gồm hai giai đoạn chính: Đánh giá hồ sơ và dữ liệu hệ thống trong quá trình lập kế hoạch kiểm toán và đánh giá thực tế, trực tiếp tại tổ chức được kiểm toán, theo nội dung và phạm vi đã thống nhất trước đó.

Theo Thông tư, thời gian hoàn thành một cuộc kiểm toán kỹ thuật không quá 6 tháng. Trong trường hợp cần thiết, có thể gia hạn thêm tối đa 45 ngày để tổ chức thực hiện các biện pháp khắc phục.

Sau khi hoàn thành, tổ chức kiểm toán kỹ thuật sẽ cấp Giấy chứng nhận kiểm toán kỹ thuật kèm theo báo cáo chi tiết cho tổ chức được kiểm toán. Nếu không đủ điều kiện cấp chứng nhận, kết quả đánh giá phải được thông báo bằng văn bản nêu rõ lý do, kèm theo báo cáo kiểm toán đầy đủ.

Báo cáo kiểm toán kỹ thuật cần thể hiện các nội dung chính như: thông tin chung về cuộc kiểm toán, thời gian thực hiện, đánh giá rủi ro bảo mật thông tin, phương pháp kiểm toán sử dụng, cùng các dữ liệu và phân tích phục vụ việc ra quyết định chứng nhận.

Các tổ chức cung cấp dịch vụ tin cậy có trách nhiệm gửi báo cáo kiểm toán kỹ thuật về Bộ Khoa học và Công nghệ, thông qua Trung tâm Chứng thực điện tử quốc gia (NEAC), để tổng hợp và phục vụ công tác quản lý nhà nước.

Thông tư cũng quy định cụ thể trách nhiệm của các tổ chức kiểm toán kỹ thuật. Theo đó, các tổ chức này phải tuân thủ đầy đủ pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật, thực hiện khách quan, độc lập và minh bạch các hoạt động kiểm toán.

Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia được giao làm đầu mối tiếp nhận, xử lý hồ sơ đăng ký và trình Bộ trưởng Bộ Khoa học và Công nghệ chỉ định các tổ chức kiểm toán kỹ thuật đủ năng lực, theo quy định pháp luật về tiêu chuẩn, chất lượng sản phẩm, hàng hóa.

Bên cạnh đó, Trung tâm Chứng thực điện tử quốc gia có trách nhiệm tiếp nhận, tổng hợp báo cáo kiểm toán kỹ thuật từ các tổ chức cung cấp dịch vụ tin cậy, đồng thời báo cáo Bộ trưởng Bộ Khoa học và Công nghệ phục vụ công tác giám sát, đánh giá định kỳ.

Thông tư yêu cầu các tổ chức kiểm toán kỹ thuật phải đảm bảo quy trình đánh giá tuân thủ nghiêm ngặt quy chuẩn chuyên môn, đồng thời giữ vững tính độc lập trong quá trình đánh giá để bảo đảm kết quả khách quan, chính xác.

Việc triển khai cơ chế kiểm toán kỹ thuật định kỳ được đánh giá là bước tiến quan trọng trong việc hoàn thiện khung pháp lý cho hạ tầng dữ liệu số quốc gia, đặc biệt trong bối cảnh nền kinh tế số phát triển nhanh và các giao dịch điện tử ngày càng phổ biến.

Theo Bộ Khoa học và Công nghệ, kiểm toán kỹ thuật định kỳ giúp phát hiện sớm các rủi ro về bảo mật, lỗi hệ thống hoặc sai phạm trong vận hành, đồng thời nâng cao khả năng ứng phó sự cố an ninh mạng. Quy định này cũng góp phần củng cố niềm tin của người dân và doanh nghiệp vào tính minh bạch, liêm chính và ổn định của các dịch vụ tin cậy - nền tảng của chính phủ điện tử và kinh tế số.

Thông tư số 19/2025/TT-BKHCN sẽ chính thức có hiệu lực từ ngày 1/1/2026.