Quy định về kiểm toán kỹ thuật đối với chữ ký điện tử và dịch vụ tin cậy

Thông tư này áp dụng đối với các tổ chức, cá nhân tham gia hoặc có liên quan đến hoạt động kiểm toán kỹ thuật đối với hệ thống thông tin, quy trình cung cấp dịch vụ chữ ký điện tử bảo đảm an toàn, chứng thư chữ ký điện tử bảo đảm an toàn, chữ ký số, chứng thư chữ ký số và dịch vụ tin cậy; cơ quan, tổ chức tạo lập, sử dụng chữ ký điện tử bảo đảm an toàn và chứng thư chữ ký điện tử bảo đảm an toàn được chủ động thực hiện kiểm toán kỹ thuật quy định tại Thông tư này để đánh giá hệ thống thông tin và quy trình cung cấp dịch vụ.

Căn cứ đánh giá, cách thức, nội dung thực hiện

Theo Thông tư, các tổ chức cung cấp dịch vụ tin cậy phải thực hiện kiểm toán kỹ thuật theo chu kỳ 2 năm/lần; bên cạnh đó, các cơ quan, tổ chức tạo lập, sử dụng chữ ký điện tử bảo đảm an toàn và chứng thư chữ ký điện tử bảo đảm an toàn được khuyến khích chủ động thực hiện kiểm toán kỹ thuật.

Căn cứ đánh giá của kiểm toán kỹ thuật là các yêu cầu cụ thể đối với hệ thống thông tin, quy trình cung cấp dịch vụ quy định tại quy chuẩn kỹ thuật, tiêu chuẩn kỹ thuật, yêu cầu kỹ thuật áp dụng đối với chữ ký điện tử bảo đảm an toàn, chứng thư chữ ký điện tử bảo đảm an toàn, chữ ký số, chứng thư chữ ký số và dịch vụ tin cậy. 

Hoạt động kiểm toán kỹ thuật bao gồm các nội dung: đánh giá thông tin thu thập trong quá trình xây dựng kế hoạch kiểm toán kỹ thuật và đánh giá thực tế, trực tiếp tại tổ chức được kiểm toán kỹ thuật theo kế hoạch, nội dung đánh giá đã thống nhất.

Thời hạn hoàn thành một cuộc kiểm toán không quá 6 tháng, trường hợp cần thiết có thể gia hạn thêm tối đa 45 ngày để thực hiện các hành động khắc phục.

Căn cứ kết quả đánh giá của cuộc kiểm toán kỹ thuật và kết quả hành động khắc phục (nếu có), tổ chức kiểm toán kỹ thuật xem xét, quyết định cấp giấy chứng nhận kèm theo báo cáo kiểm toán kỹ thuật cho tổ chức được kiểm toán kỹ thuật. Trường hợp không cấp giấy chứng nhận, tổ chức kiểm toán kỹ thuật thông báo bằng văn bản nêu rõ lý do kèm theo báo cáo kiểm toán kỹ thuật cho tổ chức được kiểm toán.

Ngoài ra, Thông tư cũng quy định rõ các nội dung cần thể hiện trong Báo cáo kiểm toán kỹ thuật (bao gồm các nội dung cơ bản như: Thông tin chung về cuộc kiểm toán kỹ thuật; thời gian thực hiện các nội dung kiểm toán kỹ thuật; đánh giá rủi ro bảo mật thông tin của tổ chức được kiểm toán kỹ thuật; phương thức kiểm toán kỹ thuật được sử dụng; các thông tin phục vụ việc ra quyết định chứng nhận,…). Các tổ chức cung cấp dịch vụ tin cậy phải gửi Báo cáo kiểm toán kỹ thuật về Bộ Khoa học và Công nghệ (thông qua đầu mối Trung tâm Chứng thực điện tử quốc gia) để tổng hợp phục vụ công tác quản lý nhà nước.

Trách nhiệm của các cơ quan, tổ chức có liên quan

Thông tư cũng quy định rõ, tổ chức kiểm toán kỹ thuật có trách nhiệm thực hiện quyền và nghĩa vụ của tổ chức chứng nhận theo quy định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật; thực hiện đầy đủ, khách quan, độc lập các hoạt động kiểm toán kỹ thuật theo quy định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật, chất lượng sản phẩm, hàng hóa; đảm bảo quy trình kiểm toán kỹ thuật tuân thủ theo các quy định.

Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia (Bộ Khoa học và Công nghệ) là đầu mối tiếp nhận, xử lý hồ sơ đăng ký chỉ định tổ chức kiểm toán kỹ thuật và trình Bộ trưởng Bộ Khoa học và Công nghệ ra quyết định chỉ định tổ chức kiểm toán kỹ thuật phù hợp với pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật, chất lượng sản phẩm, hàng hóa.

Trung tâm Chứng thực điện tử quốc gia có trách nhiệm là đầu mối tiếp nhận báo cáo kiểm toán kỹ thuật từ các tổ chức được kiểm toán kỹ thuật; tổng hợp, báo cáo Bộ trưởng Bộ Khoa học và Công nghệ phục vụ công tác quản lý nhà nước đối với hoạt động cung cấp dịch vụ tin cậy.
Thông tư có hiệu lực thi hành từ 1/1/2026.

Minh Hiển