Ngày 06/10/2025, Bộ Khoa học và Công nghệ đã ban hành Thông tư số 19/2025/TT-BKHCN quy định về kiểm toán kỹ thuật đối với chữ ký điện tử và dịch vụ tin cậy.

Thông tư này hướng dẫn chi tiết hoạt động kiểm toán kỹ thuật được quy định tại khoản 2, Điều 27 Nghị định 23/2025/NĐ-CP ngày 21/02/2025 của Chính phủ về chữ ký điện tử và dịch vụ tin cậy.

Thông tư 19/2025/TT-BKHCN áp dụng cho các tổ chức, cá nhân tham gia hoặc có liên quan đến hoạt động kiểm toán kỹ thuật trong các hệ thống, quy trình cung cấp dịch vụ chữ ký điện tử bảo đảm an toàn, chứng thư chữ ký điện tử, chữ ký số, chứng thư chữ ký số và các dịch vụ tin cậy khác.

Các cơ quan, tổ chức tạo lập hoặc sử dụng chữ ký điện tử bảo đảm an toàn được chủ động tiến hành kiểm toán kỹ thuật theo quy định tại Thông tư này để đánh giá hệ thống thông tin và quy trình cung cấp dịch vụ.

Thông tư 19/2025/TT-BKHCN có hiệu lực từ ngày 01/01/2026.

1. Yêu cầu chuyển tiếp trong 3 năm đầu

Trong vòng 03 năm kể từ ngày Nghị định 23/2025/NĐ-CP có hiệu lực, các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đã được cấp phép theo Nghị định 130/2018/NĐ-CP phải lập kế hoạch và hoàn thành kiểm toán kỹ thuật lần đầu theo quy định mới.

2. Phương pháp kiểm toán kỹ thuật theo mẫu địa điểm đại diện

Theo Điều 5 Thông tư 19/2025/TT-BKHCN, đối với các tổ chức có nhiều địa điểm hoạt động, việc kiểm toán kỹ thuật được thực hiện tại trụ sở chính và có thể lựa chọn mẫu đại diện ở các địa điểm còn lại, nhằm đảm bảo tính toàn diện, độc lập và hiệu quả của quá trình kiểm toán.

Khi áp dụng phương pháp kiểm toán theo mẫu địa điểm đại diện, tổ chức kiểm toán phải đảm bảo:

- Số lượng mẫu địa điểm đại diện được quy định rõ trong hợp đồng kiểm toán kỹ thuật.

- Lựa chọn mẫu địa điểm dựa trên các yếu tố:

+ Chính sách bảo mật thông tin.

+ Quy mô, mục đích hoạt động và mức độ phức tạp của hệ thống thông tin.

+ Khác biệt trong chính sách quản lý, phương pháp làm việc.

+ Rủi ro tiềm ẩn về an toàn thông tin giữa các địa điểm.

+ Địa điểm vận hành bởi các bên khác nhau.

- Kết hợp hai phương pháp lựa chọn mẫu: có chủ đích (dựa trên tiêu chí rủi ro) và ngẫu nhiên.

- Nếu phát hiện bất kỳ sai phạm nào tại một địa điểm mẫu, biện pháp khắc phục phải được áp dụng cho toàn bộ hệ thống.

- Hồ sơ kiểm toán phải được lập và lưu trữ đầy đủ, nêu rõ tiêu chí chọn mẫu và quá trình đánh giá.

3. Phân loại chứng thư chữ ký điện tử (Theo Nghị định 23/2025/NĐ-CP)

Hiện nay, chứng thư chữ ký điện tử được phân thành 05 loại, bao gồm:

- Chứng thư chữ ký số gốc: do tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia tự cấp cho mình, tương ứng với từng loại dịch vụ tin cậy.

- Chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy: được cấp bởi tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, gồm:

+ Dịch vụ cấp dấu thời gian.

+ Dịch vụ chứng thực thông điệp dữ liệu.

+ Dịch vụ chứng thực chữ ký số công cộng.

- Chứng thư chữ ký số công cộng: do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cấp cho thuê bao.

- Chứng thư chữ ký điện tử chuyên dùng: do cơ quan, tổ chức tự cấp để sử dụng trong phạm vi nội bộ.

4. Kết luận

Thông tư 19/2025/TT-BKHCN là văn bản hướng dẫn quan trọng nhằm chuẩn hóa hoạt động kiểm toán kỹ thuật trong lĩnh vực chữ ký điện tử và dịch vụ tin cậy, đảm bảo tính an toàn, minh bạch và tuân thủ pháp luật.