Thông tư 19/2025/TT-BKHCN ngày 06/10/2025 Quy định kiểm toán kỹ thuật đối với chữ ký điện tử và dịch vụ tin cậy

 THÔNG TƯ

Quy định kiểm toán kỹ thuật đối với chữ ký điện tử và dịch vụ tin cậy 
^{___________________________________}

Căn cứ Luật Giao dịch điện tử số 20/2023/QH15 ngày 22 tháng 6 năm 2023; 

Căn cứ Nghị định số 23/2025/NĐ-CP ngày 21 tháng 02 năm 2025 của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy;

Căn cứ Nghị định số 127/2007/NĐ-CP ngày 01 tháng 8 năm 2007 của Chính phủ quy định chi tiết thi hành một số điều Luật tiêu chuẩn và quy chuẩn kỹ thuật; Nghị định số 78/2018/NĐ-CP ngày 16 tháng 5 năm 2018 của Chính phủ sửa đổi, bổ sung một số điều của Nghị định số 127/2007/NĐ-CP;

Căn cứ Nghị định số 132/2008/NĐ-CP ngày 31 tháng 12 năm 2008 của Chính phủ quy định chi tiết thi hành một số điều của Luật Chất lượng sản phẩm, hàng hóa; Nghị định số 74/2018/NĐ-CP ngày 15 tháng 5 năm 2018 của Chính phủ sửa đổi, bổ sung một số điều của Nghị định số 132/2008/NĐ-CP;

Căn cứ Nghị định số 55/2025/NĐ-CP ngày 02 tháng 3 năm 2025 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Khoa học và Công nghệ;

Theo đề nghị của Giám đốc Trung tâm Chứng thực điện tử quốc gia;

Bộ trưởng Bộ Khoa học và Công nghệ ban hành Thông tư quy định kiểm toán kỹ thuật đối với chữ ký điện tử và dịch vụ tin cậy. 

Chương I
NHỮNG QUY ĐỊNH CHUNG 

Điều 1. Phạm vi điều chỉnh

Thông tư này quy định chi tiết về hoạt động kiểm toán kỹ thuật được quy định tại khoản 2 Điều 27 Nghị định số 23/2025/NĐ-CP ngày 21/02/2025 của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy.

Điều 2. Đối tượng áp dụng

1. Thông tư này áp dụng đối với các tổ chức, cá nhân tham gia hoặc có liên quan đến hoạt động kiểm toán kỹ thuật đối với hệ thống thông tin, quy trình cung cấp dịch vụ chữ ký điện tử bảo đảm an toàn, chứng thư chữ ký điện tử bảo đảm an toàn, chữ ký số, chứng thư chữ ký số và dịch vụ tin cậy.

2. Cơ quan, tổ chức tạo lập, sử dụng chữ ký điện tử bảo đảm an toàn và chứng thư chữ ký điện tử bảo đảm an toàn được chủ động thực hiện kiểm toán kỹ thuật quy định tại Thông tư này để đánh giá hệ thống thông tin và quy trình cung cấp dịch vụ.

Điều 3. Giải thích từ ngữ

Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:

1. “Kiểm toán kỹ thuật” là hoạt động đánh giá độc lập, khách quan đối với hệ thống thông tin, quy trình cung cấp dịch vụ nhằm xác định việc đáp ứng tiêu chuẩn kỹ thuật bắt buộc áp dụng, quy chuẩn kỹ thuật, yêu cầu kỹ thuật của chữ ký điện tử bảo đảm an toàn, chứng thư chữ ký điện tử bảo đảm an toàn, chữ ký số, chứng thư chữ ký số và dịch vụ tin cậy. Trong đó, tiêu chuẩn kỹ thuật bắt buộc áp dụng khi được viện dẫn trong quy chuẩn kỹ thuật hoặc văn bản quy phạm pháp luật.

2. “Tổ chức kiểm toán kỹ thuật” là tổ chức chứng nhận được chỉ định theo quy định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật, chất lượng sản phẩm, hàng hóa.

3. “Mẫu địa điểm đại diện” là một hoặc một số địa điểm trong số các địa điểm đăng ký hoạt động của tổ chức được kiểm toán kỹ thuật, được lựa chọn để tiến hành đánh giá, nhằm đảm bảo hiệu quả, tiết kiệm nguồn lực và vẫn phản ánh khách quan mức độ tuân thủ của toàn bộ hệ thống.

Điều 4. Căn cứ đánh giá và chu kỳ kiểm toán kỹ thuật

1. Căn cứ đánh giá của kiểm toán kỹ thuật là các yêu cầu cụ thể đối với hệ thống thông tin, quy trình cung cấp dịch vụ quy định tại quy chuẩn kỹ thuật, tiêu chuẩn kỹ thuật, yêu cầu kỹ thuật áp dụng đối với chữ ký điện tử bảo đảm an toàn, chứng thư chữ ký điện tử bảo đảm an toàn, chữ ký số, chứng thư chữ ký số và dịch vụ tin cậy.

2. Kiểm toán kỹ thuật được thực hiện định kỳ 02 năm/lần.

3. Trong thời gian tối đa 01 (một) năm kể từ ngày được cấp chứng thư chữ ký số, tổ chức cung cấp dịch vụ tin cậy phải hoàn thành kiểm toán kỹ thuật lần đầu, trừ trường hợp quy định tại khoản 2 Điều 15 của Thông tư này.

Điều 5. Phương pháp kiểm toán kỹ thuật theo mẫu địa điểm đại diện

Đối với các tổ chức được kiểm toán kỹ thuật có nhiều địa điểm hoạt động, việc kiểm toán kỹ thuật phải được thực hiện đánh giá tại trụ sở chính của tổ chức được kiểm toán kỹ thuật và có thể lựa chọn mẫu đại diện đối với các địa điểm còn lại nhằm đảm bảo tính toàn diện, độc lập, khách quan và hiệu quả của cuộc kiểm toán kỹ thuật.

Khi sử dụng phương pháp kiểm toán kỹ thuật theo mẫu địa điểm đại diện, tổ chức kiểm toán kỹ thuật cần đảm bảo những nội dung sau:

1. Số lượng mẫu địa điểm đại diện được quy định trong hợp đồng cung cấp dịch vụ kiểm toán kỹ thuật;

2. Việc lựa chọn mẫu địa điểm đại diện dựa trên các yếu tố sau:

a) Kết quả của việc xem xét chính sách bảo mật thông tin;

b) Sự khác biệt về quy mô của các địa điểm đặt hệ thống thông tin;

c) Sự khác biệt về mục đích hoạt động của các địa điểm;

d) Mức độ phức tạp của các hệ thống thông tin tại các địa điểm khác nhau;

đ) Sự khác biệt về chính sách quản lý và phương pháp làm việc giữa các địa điểm;

e) Rủi ro tiềm ẩn về mất an toàn đối với các hệ thống thông tin, quy trình cung cấp dịch vụ giữa các địa điểm;

g) Địa điểm đặt hệ thống thông tin được vận hành bởi các bên khác nhau.

3. Việc lựa chọn mẫu phải kết hợp giữa phương pháp lựa chọn có chủ đích (dựa trên các tiêu chí tại khoản 2 Điều này) và phương pháp lựa chọn ngẫu nhiên;

4. Trong trường hợp phát hiện thấy sự không phù hợp tại một trong các mẫu địa điểm đại diện, hành động khắc phục phải được áp dụng cho tất cả các địa điểm hoạt động của tổ chức được kiểm toán kỹ thuật;

5. Tổ chức kiểm toán kỹ thuật phải lập hồ sơ, lưu giữ tài liệu về việc lựa chọn địa điểm đánh giá theo mẫu đại diện.

Điều 6. Xem xét hành động khắc phục

Việc thực hiện, xem xét hành động khắc phục (nếu có) và cấp giấy chứng nhận theo các nội dung như sau:

1. Bước 1: Lập báo cáo đánh giá sơ bộ và yêu cầu khắc phục

Tổ chức kiểm toán kỹ thuật lập báo cáo đánh giá sơ bộ sau khi thực hiện các nội dung kiểm toán kỹ thuật được quy định tại Điều 9, Điều 10 và Điều 11 Thông tư này, trong đó nêu rõ các vấn đề cần khắc phục và gửi cho tổ chức được kiểm toán kỹ thuật để yêu cầu lập kế hoạch khắc phục.

2. Bước 2: Xây dựng kế hoạch khắc phục

Tổ chức được kiểm toán kỹ thuật phải xây dựng và thông báo cho tổ chức kiểm toán kỹ thuật về kế hoạch khắc phục dựa trên báo cáo đánh giá sơ bộ tại Bước 1, bao gồm các hành động khắc phục tương ứng.

3. Bước 3: Gửi kết quả khắc phục và bằng chứng

Sau khi hoàn thành kế hoạch khắc phục, tổ chức được kiểm toán kỹ thuật phải gửi văn bản báo cáo kết quả khắc phục kèm theo bằng chứng khắc phục đến tổ chức kiểm toán kỹ thuật.

4. Bước 4: Đánh giá kết quả khắc phục

Tổ chức kiểm toán kỹ thuật đánh giá kết quả khắc phục trên cơ sở các bằng chứng được cung cấp. Trong trường hợp cần thiết, có thể yêu cầu bổ sung, làm rõ hoặc xác minh thực tế.

5. Bước 5: Cấp giấy chứng nhận

Tổ chức kiểm toán kỹ thuật xem xét việc cấp giấy chứng nhận theo quy định tại khoản 2 Điều 12 Thông tư này.

Điều 7. Báo cáo kiểm toán kỹ thuật

Báo cáo kiểm toán kỹ thuật phải bao gồm các nội dung cơ bản sau đây:

1. Thông tin chung về cuộc kiểm toán kỹ thuật:

a) Mô tả thông tin chung về tổ chức được kiểm toán kỹ thuật;

b) Mục tiêu, phạm vi, địa điểm kiểm toán kỹ thuật;

c) Căn cứ đánh giá được quy định tại khoản 1 Điều 4 Thông tư này;

d) Các căn cứ pháp lý có liên quan.

2. Đánh giá rủi ro bảo mật thông tin của tổ chức được kiểm toán kỹ thuật;

3. Thời gian thực hiện các nội dung kiểm toán kỹ thuật và tổng thời gian kiểm toán kỹ thuật;

4. Phương thức kiểm toán kỹ thuật được sử dụng trong quá trình đánh giá;

5. Các thông tin phục vụ việc ra quyết định chứng nhận bao gồm:

a) Các nội dung, phạm vi, địa điểm được kiểm toán kỹ thuật, các bằng chứng đã thu thập;

b) Các phát hiện đánh giá;

c) Thông tin chi tiết về sự không phù hợp (nếu có);

d) Kết luận về sự phù hợp của tổ chức được kiểm toán kỹ thuật với căn cứ đánh giá được quy định tại khoản 1 Điều 4 Thông tư này;

đ) Báo cáo đánh giá của chuyên gia đánh giá về quá trình kiểm toán kỹ thuật;

e) Thông tin về các mẫu địa điểm đại diện được kiểm toán kỹ thuật.

6. Báo cáo kiểm toán kỹ thuật được trưởng đoàn kiểm toán kỹ thuật ký và tổ chức kiểm toán kỹ thuật đóng dấu. Trường hợp báo cáo kiểm toán kỹ thuật được thiết lập dưới dạng thông điệp dữ liệu phải được ký số bởi trưởng đoàn kiểm toán kỹ thuật và tổ chức kiểm toán kỹ thuật.

Điều 8. Chỉ định tổ chức kiểm toán kỹ thuật

1. Bộ Khoa học và Công nghệ chỉ định tổ chức kiểm toán kỹ thuật theo quy định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật, chất lượng sản phẩm, hàng hóa.

2. Danh sách tổ chức kiểm toán kỹ thuật được Bộ Khoa học và Công nghệ chỉ định được đăng tải công khai trên Cổng thông tin điện tử của Bộ Khoa học và Công nghệ.

Chương II
KIỂM TOÁN KỸ THUẬT

Điều 9. Chuẩn bị và thống nhất kế hoạch kiểm toán kỹ thuật

1. Tổ chức kiểm toán kỹ thuật có trách nhiệm thu thập thông tin nhằm mục đích làm cơ sở đề xuất kế hoạch kiểm toán kỹ thuật phù hợp với quy mô và tình hình thực tế của tổ chức được kiểm toán kỹ thuật. Các thông tin này bao gồm:

a) Thông tin chi tiết của tổ chức được kiểm toán kỹ thuật;

b) Quy chế chứng thực và chính sách chứng thư chữ ký điện tử;

c) Quy trình vận hành và kiểm soát;

d) Tài liệu kỹ thuật về hệ thống thông tin;

đ) Các điều khoản giao kết với khách hàng;

e) Các hợp đồng, thỏa thuận với bên thứ ba (nếu có);

g) Tài liệu, hồ sơ chứng minh về tuân thủ hoạt động như nhật ký hệ thống, nhật ký vận hành;

h) Các báo cáo khác có liên quan nhằm phục vụ kiểm toán kỹ thuật.

2. Kế hoạch kiểm toán kỹ thuật phải đảm bảo thể hiện rõ các yêu cầu sau:

a) Căn cứ đánh giá theo khoản 1 Điều 4 Thông tư này;

b) Thời hạn kiểm toán kỹ thuật theo quy định tại Điều 13 Thông tư này;

c) Các địa điểm kiểm toán kỹ thuật. Trong trường hợp tổ chức kiểm toán kỹ thuật cần áp dụng phương pháp kiểm toán kỹ thuật theo mẫu địa điểm đại diện được quy định tại Điều 5 Thông tư này, tổ chức kiểm toán kỹ thuật phải liệt kê các mẫu địa điểm đại diện và căn cứ lựa chọn trong kế hoạch kiểm toán kỹ thuật.

3. Tổ chức kiểm toán kỹ thuật tổ chức họp và thống nhất bằng văn bản với tổ chức được kiểm toán kỹ thuật về các nội dung dự kiến triển khai trong kế hoạch kiểm toán kỹ thuật.

Điều 10. Đánh giá thông tin thu thập

Tổ chức kiểm toán kỹ thuật đánh giá thông tin được cung cấp bởi tổ chức được kiểm toán kỹ thuật theo quy định tại khoản 1 Điều 9 Thông tư này. Kết quả đánh giá là cơ sở để triển khai kế hoạch đánh giá thực tế.

Điều 11. Đánh giá thực tế

Tổ chức kiểm toán kỹ thuật thực hiện đánh giá trực tiếp tại tổ chức được kiểm toán kỹ thuật theo kế hoạch, nội dung đánh giá đã thống nhất.

Điều 12. Cấp giấy chứng nhận

1. Trong trường hợp cần có hành động khắc phục, tổ chức được kiểm toán kỹ thuật triển khai hành động khắc phục theo quy định tại Điều 6 Thông tư này.

2. Căn cứ kết quả đánh giá của cuộc kiểm toán kỹ thuật và kết quả hành động khắc phục (nếu có), tổ chức kiểm toán kỹ thuật xem xét, quyết định cấp giấy chứng nhận kèm theo báo cáo kiểm toán kỹ thuật cho tổ chức được kiểm toán kỹ thuật; trường hợp không cấp giấy chứng nhận, tổ chức kiểm toán kỹ thuật thông báo bằng văn bản nêu rõ lý do kèm theo báo cáo kiểm toán kỹ thuật cho tổ chức được kiểm toán.

Điều 13. Thời hạn kiểm toán kỹ thuật

1. Thời hạn của cuộc kiểm toán kỹ thuật được tính từ ngày bắt đầu thực hiện đánh giá thông tin thu thập tới ngày ban hành báo cáo kiểm toán kỹ thuật.

2. Thời hạn cho mỗi cuộc kiểm toán kỹ thuật không quá 06 tháng.

3. Trường hợp cần thực hiện hành động khắc phục, thời gian để hoàn thành kế hoạch khắc phục do tổ chức được kiểm toán kỹ thuật đề xuất vượt quá thời hạn kiểm toán kỹ thuật nêu tại khoản 2 Điều này, tổ chức kiểm toán kỹ thuật và tổ chức được kiểm toán kỹ thuật thống nhất bằng văn bản về việc kéo dài thời hạn kiểm toán kỹ thuật nhưng không quá 45 ngày.

Chương III
TRÁCH NHIỆM CỦA CÁC CƠ QUAN, TỔ CHỨC LIÊN QUAN VÀ ĐIỀU KHOẢN THI HÀNH 

Điều 14. Trách nhiệm của các cơ quan, tổ chức có liên quan

1. Tổ chức kiểm toán kỹ thuật có trách nhiệm:

a) Thực hiện quyền và nghĩa vụ của tổ chức chứng nhận theo quy định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật;

b) Thực hiện đầy đủ, khách quan, độc lập các hoạt động kiểm toán kỹ thuật theo quy định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật, chất lượng sản phẩm, hàng hóa và các quy định tại Thông tư này;

c) Đảm bảo quy trình kiểm toán kỹ thuật tuân thủ theo các quy định của Thông tư này.

2. Tổ chức được kiểm toán kỹ thuật có trách nhiệm:

a) Trong thời gian tối đa 05 (năm) ngày làm việc kể từ ngày nhận được kết quả kiểm toán kỹ thuật, gửi kết quả kiểm toán kỹ thuật đến Bộ Khoa học và Công nghệ (Trung tâm Chứng thực điện tử quốc gia) để phục vụ công tác quản lý;

b) Bảo đảm tính liên tục về hiệu lực của giấy chứng nhận trong quá trình cung cấp dịch vụ tin cậy.

3. Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia (Bộ Khoa học và Công nghệ) có trách nhiệm:

a) Là đầu mối tiếp nhận, xử lý hồ sơ đăng ký chỉ định tổ chức kiểm toán kỹ thuật và trình Bộ trưởng Bộ Khoa học và Công nghệ ra quyết định chỉ định tổ chức kiểm toán kỹ thuật phù hợp với pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật, chất lượng sản phẩm, hàng hóa;

b) Chủ trì, phối hợp với Trung tâm Chứng thực điện tử quốc gia (Bộ Khoa học và Công nghệ) và các đơn vị liên quan trong việc rà soát, cập nhật, hoàn thiện hệ thống quy chuẩn kỹ thuật, tiêu chuẩn kỹ thuật trong lĩnh vực dịch vụ tin cậy.

4. Trung tâm Chứng thực điện tử quốc gia (Bộ Khoa học và Công nghệ) có trách nhiệm là đầu mối tiếp nhận báo cáo kiểm toán kỹ thuật từ các tổ chức được kiểm toán kỹ thuật; tổng hợp, báo cáo Bộ trưởng Bộ Khoa học và Công nghệ phục vụ công tác quản lý nhà nước đối với hoạt động cung cấp dịch vụ tin cậy.

Điều 15. Tổ chức thực hiện và Hiệu lực thi hành

1. Thông tư có hiệu lực thi hành từ ngày 01 tháng 01 năm 2026.

2. Trong thời hạn 03 (ba) năm kể từ ngày Nghị định số 23/2025/NĐ-CP ngày 21/02/2025 của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy có hiệu lực, các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đã được cấp phép theo Nghị định số 130/2018/NĐ-CP ngày 27/9/2018 của Chính phủ quy định chi tiết thi hành luật giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số phải lập kế hoạch và hoàn thành việc kiểm toán kỹ thuật lần đầu.

3. Trong quá trình tổ chức thực hiện, nếu có khó khăn, vướng mắc, tổ chức, cá nhân có liên quan phản ánh về Bộ Khoa học và Công nghệ (Trung tâm Chứng thực điện tử quốc gia) để kịp thời giải quyết./.