Pháp lý doanh nghiệp 
Thông tư 41/2017/TT-BTTTT về ký số, kiểm tra chữ ký số trên văn bản điện tử
- Tổng hợp lại tất cả các quy định pháp luật còn hiệu lực áp dụng từ văn bản gốc và các văn bản sửa đổi, bổ sung, đính chính…
- Khách hàng chỉ cần xem Nội dung MIX, có thể nắm bắt toàn bộ quy định pháp luật hiện hành còn áp dụng, cho dù văn bản gốc đã qua nhiều lần chỉnh sửa, bổ sung.
thuộc tính Thông tư 41/2017/TT-BTTTT
| Cơ quan ban hành: | Bộ Thông tin và Truyền thông |
| Số công báo: | Đã biết Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Số công báo. Nếu chưa có tài khoản Quý khách đăng ký tại đây! |
| Số hiệu: | 41/2017/TT-BTTTT |
| Ngày đăng công báo: | Đã biết Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Ngày đăng công báo. Nếu chưa có tài khoản Quý khách đăng ký tại đây! |
| Loại văn bản: | Thông tư |
| Người ký: | Trương Minh Tuấn |
| Ngày ban hành: | 19/12/2017 |
| Ngày hết hiệu lực: | Đang cập nhật |
| Áp dụng: | |
| Tình trạng hiệu lực: | Đã biết Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Tình trạng hiệu lực. Nếu chưa có tài khoản Quý khách đăng ký tại đây! |
| Lĩnh vực: | Thông tin-Truyền thông |
TÓM TẮT VĂN BẢN
Quy định về sử dụng chữ ký số trong cơ quan Nhà nước
Ngày 19/12/2017, Bộ Thông tin và Truyền thông đã ban hành Thông tư số 41/2017/TT-BTTTT quy định sử dụng chữ ký số cho văn bản điện tử trong cơ quan Nhà nước.
Thông tư nêu rõ, việc ký số được thực hiện thông qua phần mềm ký số; việc ký số vào văn bản điện tử thành công hoặc không thành công phải được thông báo qua phần mềm. Thông tin về người có thẩm quyền ký số, cơ quan, tổ chức ký số phải được quản lý trong cơ sở dữ liệu đi kèm phần mềm ký số.
Tổ chức cung cấp dịch vụ chứng thực chữ ký số phải lưu trữ đầy đủ, chính xác, cập nhật, công bố trên website của tổ chức về các thông tin: Thông tin liên quan đến hoạt động tạm dừng, thu hồi chứng thư số và các chứng thư số bị thu hồi của thuê bao; Thông tin liên quan đến chứng thư số của thuê bao, danh sách các chứng thư số có hiệu lực hoặc đã hết hiệu lực; Quy chế chứng thực của tổ chức. Để hỗ trợ xác định tính hợp lệ của chữ ký số, trang tin điện tử phải đảm bảo hoạt động 24/7.
Người đứng đầu cơ quan, tổ chức sử dụng chữ ký số phải xây dựng phương án và được phê duyệt bởi cơ quan chuyên trách về công nghệ thông tin, đảm bảo khả năng tương tích và xác thực hiệu lực của chữ ký số, khi có yêu cầu chuyển đổi văn bản điện tử ký số và đang được lưu trữ sang định dạng tệp văn bản mới.
Thông tư này có hiệu lực từ ngày 05/02/2018.
Để tìm hiểu thêm quy định nêu trên, bạn đọc tham khảo:
Thông tư 41/2017/TT-BTTTT của Bộ Thông tin và Truyền thông về việc quy định sử dụng chữ ký số cho văn bản điện tử trong cơ quan Nhà nước
Xem chi tiết Thông tư41/2017/TT-BTTTT tại đây
tải Thông tư 41/2017/TT-BTTTT
| BỘ THÔNG TIN VÀ Số: 41/2017/TT-BTTTT | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Hà Nội, ngày 19 tháng 12 năm 2017 |
THÔNG TƯ
QUY ĐỊNH SỬ DỤNG CHỮ KÝ SỐ CHO VĂN BẢN ĐIỆN TỬ TRONG CƠ QUAN NHÀ NƯỚC
Căn cứ Luật Giao dịch điện tử ngày 29 tháng 11 năm 2005;
Căn cứ Luật Công nghệ thông tin ngày 29 tháng 06 năm 2006;
Căn cứ Nghị định số 26/2007/NĐ-CP ngày 15 tháng 02 năm 2007 của Chính phủ quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số; Nghị định số 106/2011/NĐ-CP ngày 23 tháng 11 năm 2011 sửa đổi, bổ sung một số điều của Nghị định số 26/2007/NĐ-CP của Chính phủ ngày 15 tháng 02 năm 2007; Nghị định số 170/2013/NĐ-CP ngày 13 tháng 11 năm 2013 sửa đổi, bổ sung một số điều của Nghị định số 26/2007/NĐ-CP ngày 15 tháng 02 năm 2007 và Nghị định số 106/2011/NĐ-CP ngày 23 tháng 11 năm 2011 của Chính phủ;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;
Căn cứ Nghị định số 01/2013/NĐ-CP ngày 03 tháng 01 năm 2013 của Chính phủ quy định chi tiết thi hành một số điều của Luật Lưu trữ;
Căn cứ Nghị định số 17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định sử dụng chữ ký số cho văn bản điện tử trong cơ quan nhà nước.
Chương I. QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh
1. Thông tư này quy định về ký số, kiểm tra chữ ký số trên văn bản điện tử; yêu cầu kỹ thuật và chức năng của phần mềm ký số, phần mềm kiểm tra chữ ký số cho văn bản điện tử trong cơ quan nhà nước.
2. Thông tư này không quy định việc sử dụng chữ ký số cho văn bản điện tử chứa thông tin thuộc danh mục bí mật nhà nước.
Điều 2. Đối tượng áp dụng
1. Thông tư này được áp dụng đối với các cơ quan, tổ chức (bao gồm: các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các cấp, các đơn vị sự nghiệp sử dụng ngân sách nhà nước) và tổ chức, cá nhân liên quan sử dụng chữ ký số cho văn bản điện tử của cơ quan nhà nước.
2. Khuyến khích các cơ quan, tổ chức khác áp dụng.
Điều 3. Giải thích từ ngữ
Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:
1. "Chứng thư số cơ quan, tổ chức" là chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp cho người đứng đầu cơ quan, tổ chức theo quy định của pháp luật.
2. "Chứng thư số cá nhân" là chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp cho các chức danh nhà nước, người có thẩm quyền của cơ quan, tổ chức theo quy định của pháp luật về quản lý và sử dụng con dấu.
3. "Khóa bí mật con dấu" là khóa bí mật tương ứng với chứng thư số cơ quan, tổ chức.
4. "Khóa bí mật cá nhân" là khóa bí mật tương ứng với chứng thư số cá nhân.
5. "Chữ ký số cơ quan, tổ chức" là chữ ký số được tạo ra khi sử dụng khóa bí mật con dấu.
6. "Chữ ký số cá nhân" là chữ ký số được tạo ra khi sử dụng khóa bí mật cá nhân.
7. "Phần mềm ký số" là chương trình phần mềm có chức năng ký số vào văn bản điện tử.
8. "Phần mềm kiểm tra chữ ký số" là chương trình phần mềm có chức năng kiểm tra tính hợp lệ của chữ ký số trên văn bản điện tử.
9. "Tính xác thực của văn bản điện tử ký số" là văn bản điện tử thông qua chữ ký số được ký số gắn với văn bản điện tử xác định được người ký số hoặc cơ quan, tổ chức ký số vào văn bản điện tử.
10. "Tính toàn vẹn của văn bản điện tử ký số" là văn bản điện tử sau khi được ký số nội dung không bị thay đổi trong suốt quá trình trao đổi, xử lý và lưu trữ.
11. "Hệ thống kiểm tra trạng thái chứng thư số trực tuyến" (OCSP) là hệ thống cung cấp dịch vụ cho phép xác định trạng thái hiện thời của chứng thư số.
12. "Thiết bị lưu khóa bí mật" là thiết bị vật lý chứa khóa bí mật và chứng thư số của thuê bao.
Điều 4. Nguyên tắc sử dụng chữ ký số cho văn bản điện tử
1. Chữ ký số phải gắn kèm văn bản điện tử sau khi ký số.
2. Văn bản điện tử được ký số phải đảm bảo tính xác thực, tính toàn vẹn xuyên suốt quá trình trao đổi, xử lý và lưu trữ văn bản điện tử được ký số.
Điều 5. Quản lý khóa bí mật cá nhân và khóa bí mật con dấu
1. Người có thẩm quyền ký số có trách nhiệm bảo quản an toàn khóa bí mật cá nhân.
2. Người đứng đầu cơ quan, tổ chức có trách nhiệm giao cho nhân viên văn thư quản lý, sử dụng khóa bí mật con dấu theo quy định.
3. Thiết bị lưu khóa bí mật con dấu phải được cất giữ an toàn tại trụ sở cơ quan, tổ chức.
Chương II. QUY ĐỊNH VỀ KÝ SỐ, KIỂM TRA CHỮ KÝ SỐ TRÊN VĂN BẢN ĐIỆN TỬ TRONG CƠ QUAN NHÀ NƯỚC
Điều 6. Ký số trên văn bản điện tử
1. Việc ký số được thực hiện thông qua phần mềm ký số; việc ký số vào văn bản điện tử thành công hoặc không thành công phải được thông báo thông qua phần mềm.
2. Ký số trên văn bản điện tử
a) Trường hợp quy định người có thẩm quyền ký số trên văn bản điện tử, thông qua phần mềm ký số, người có thẩm quyền sử dụng khóa bí mật cá nhân để thực hiện việc ký số vào văn bản điện tử;
b) Trường hợp quy định cơ quan, tổ chức ký số trên văn bản điện tử, thông qua phần mềm ký số, văn thư được giao sử dụng khóa bí mật con dấu của cơ quan, tổ chức để thực hiện việc ký số vào văn bản điện tử;
3. Hiển thị thông tin về chữ ký số của người có thẩm quyền và chữ ký số của cơ quan, tổ chức trên văn bản điện tử thực hiện theo quy định của Bộ Nội vụ.
4. Thông tin về người có thẩm quyền ký số, cơ quan, tổ chức ký số phải được quản lý trong cơ sở dữ liệu đi kèm phần mềm ký số. Nội dung thông tin quản lý quy định tại khoản 4, Điều 1, Nghị định số 106/2011/NĐ-CP ngày 23 tháng 11 năm 2011 của Chính phủ.
Điều 7. Kiểm tra chữ ký số trên văn bản điện tử
1. Kiểm tra chữ ký số trên văn bản điện tử thực hiện như sau:
a) Giải mã chữ ký số bằng khóa công khai tương ứng;
b) Kiểm tra, xác thực thông tin của người ký số trên chứng thư số gắn kèm văn bản điện tử; việc kiểm tra, xác thực thông tin người ký số được thực hiện theo Điều 8 Thông tư này;
c) Kiểm tra tính toàn vẹn của văn bản điện tử ký số.
2. Chữ ký số trên văn bản điện tử là hợp lệ khi việc kiểm tra, xác thực thông tin về chứng thư số của người ký số tại thời điểm ký còn hiệu lực, chữ ký số được tạo ra đúng bởi khóa bí mật tương ứng với khóa công khai trên chứng thư số và văn bản điện tử đảm bảo tính toàn vẹn.
3. Thông tin về người ký số; cơ quan, tổ chức ký số trên văn bản điện tử phải được quản lý trong cơ sở dữ liệu đi kèm phần mềm kiểm tra chữ ký số. Nội dung thông tin quản lý quy định tại khoản 4, Điều 1, Nghị định số 106/2011/NĐ-CP ngày 23 tháng 11 năm 2011 của Chính phủ.
Điều 8. Kiểm tra hiệu lực của chứng thư số
1. Thực hiện kiểm tra hiệu lực của chứng thư số tại thời điểm ký số thực hiện theo các bước sau:
a) Kiểm tra hiệu lực chứng thư số qua danh sách chứng thư số bị thu hồi (CRL) được công bố tại thời điểm ký số hoặc kiểm tra hiệu lực chứng thư số bằng phương pháp kiểm tra trạng thái chứng thư số trực tuyến (OCSP) ở chế độ trực tuyến;
b) Việc kiểm tra chứng thư số của người ký số trên văn bản điện tử phải kiểm tra đến tận tổ chức cung cấp dịch vụ chứng thực chữ ký số gốc (Root CA).
2. Chứng thư số có hiệu lực khi đáp ứng tất cả các tiêu chí sau:
a) Có hiệu lực tại thời điểm ký;
b) Phù hợp phạm vi sử dụng của chứng thư số và trách nhiệm pháp lý của người ký;
c) Trạng thái của chứng thư số còn hoạt động tại thời điểm ký số.
3. Chứng thư số không có hiệu lực khi không đáp ứng một trong các tiêu chí tại khoản 2 Điều này.
Điều 9. Thông tin lưu trữ kèm theo văn bản điện tử ký số
1. Thông tin lưu trữ kèm theo văn bản điện tử ký số, bao gồm:
a) Đối với văn bản gửi đi:
- Chứng thư số của người ký số tại thời điểm ký;
- Danh sách chứng thư số thu hồi tại thời điểm ký của tổ chức cung cấp dịch vụ chứng thực chữ ký số;
- Quy chế chứng thực của tổ chức cung cấp dịch vụ chứng thực chữ ký số vào thời điểm ký;
- Thông tin về trách nhiệm của người ký;
- Chứng thực dấu thời gian hợp lệ vào thời điểm ký.
b) Đối với văn bản đến:
- Các chứng thư số tương ứng với các chữ ký số trên văn bản điện tử đến;
- Danh sách thu hồi chứng thư số vào thời điểm ký của tổ chức cung cấp dịch vụ chứng thực chữ ký số;
- Quy chế chứng thực của tổ chức cung cấp dịch vụ chứng thực chữ ký số vào thời điểm ký;
- Thông tin về trách nhiệm của người ký;
- Chứng thực dấu thời gian hợp lệ vào thời điểm nhận.
3. Thông tin lưu trữ kèm theo văn bản điện tử được quản lý bằng phần mềm ký số, phần mềm kiểm tra chữ ký số phù hợp thời gian lưu trữ của văn bản điện tử theo quy định.
Điều 10. Hủy bỏ thông tin lưu trữ kèm theo văn bản điện tử ký số
1. Thông tin lưu trữ kèm theo văn bản điện tử bị hủy bỏ đồng thời với văn bản điện tử.
2. Việc hủy bỏ thông tin lưu trữ kèm theo văn bản điện tử ký số không được làm ảnh hưởng đến các văn bản điện tử khác và đảm bảo sự hoạt động bình thường của hệ thống.
3. Hủy bỏ thông tin lưu trữ kèm theo văn bản điện tử ký số được thực hiện bằng phần mềm.
Chương III. YÊU CẦU KỸ THUẬT VÀ CHỨC NĂNG ĐỐI VỚI PHẦN MỀM KÝ SỐ, KIỂM TRA CHỮ KÝ SỐ
Điều 11. Yêu cầu kỹ thuật và chức năng đối với phần mềm ký số
Phần mềm ký số là phần mềm độc lập hoặc một thành phần (module) phần mềm đáp ứng các yêu cầu sau:
1. Đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật quy định tại phụ lục kèm theo Thông tư này;
2. Có các chức năng ký số trên văn bản điện tử đáp ứng quy định tại khoản 2, 3 và 4 Điều 6 Thông tư này;
3. Có chức năng kiểm tra hiệu lực chứng thư số quy định tại Điều 8 Thông tư này;
4. Có chức năng quản lý thông tin lưu trữ kèm theo văn bản điện tử ký số quy định tại Điều 9 Thông tư này;
5. Có chức năng hủy bỏ thông tin lưu trữ kèm theo văn bản điện tử ký số quy định tại Điều 10 Thông tư này;
6. Có chức năng thông báo (bằng chữ/bằng ký hiệu) cho người ký số biết việc ký số vào văn bản điện tử thành công hay không thành công;
7. Hỗ trợ cài đặt, tích hợp chứng thư số gốc của tổ chức chứng thực chữ ký số cấp chứng thư số để ký số văn bản điện tử vào phần mềm ký số để kiểm tra hiệu lực chứng thư số trên văn bản điện tử;
8. Đóng dấu thời gian tại thời điểm ký số.
Điều 12. Yêu cầu kỹ thuật và chức năng đối với phần mềm kiểm tra chữ ký số
Phần mềm kiểm tra chữ ký số là phần mềm độc lập hoặc một thành phần (module) phần mềm có các chức năng kiểm tra chữ ký số trên văn bản điện tử đáp ứng các yêu cầu sau:
1. Đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật quy định tại phụ lục kèm theo Thông tư này;
2. Có chức năng kiểm tra chữ ký số trên văn bản điện tử quy định tại khoản 1, 2 và 3 Điều 7 Thông tư này;
3. Có chức năng quản lý thông tin lưu trữ kèm theo văn bản điện tử ký số quy định tại Điều 9 Thông tư này;
4. Có chức năng hủy bỏ thông tin kèm theo văn bản điện tử ký số quy định tại Điều 10 Thông tư này;
5. Hỗ trợ cài đặt, tích hợp chứng thư số gốc của tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp chứng thư số để ký số văn bản điện tử vào phần mềm kiểm tra chữ ký số để kiểm tra chữ ký số trên văn bản điện tử;
6. Có chức năng thông báo kết quả kiểm tra chữ ký số là hợp lệ hoặc không hợp lệ cho người kiểm tra biết;
7. Đóng dấu thời gian tại thời điểm tiếp nhận văn bản đến.
Chương IV. TỔ CHỨC THỰC HIỆN
Điều 13. Trách nhiệm của tổ chức cung cấp dịch vụ chứng thực chữ ký số
1. Lưu trữ đầy đủ, chính xác, cập nhật, công bố toàn bộ các thông tin sau đây trên trang tin điện tử (website) của tổ chức cung cấp dịch vụ chứng thực chữ ký số và trang tin điện tử phải đảm bảo hoạt động 24 giờ trong ngày và 7 ngày trong tuần (để hỗ trợ xác định tính hợp lệ của chữ ký số trên văn bản điện tử)
a) Thông tin liên quan đến hoạt động tạm dừng, thu hồi chứng thư số và các chứng thư số bị thu hồi của thuê bao;
b) Thông tin liên quan đến chứng thư số của thuê bao, danh sách các chứng thư số có hiệu lực hoặc đã hết hiệu lực;
c) Quy chế chứng thực của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
2. Công bố các đặc tả kỹ thuật (cả tài liệu và bộ công cụ) liên quan đến tổ chức cung cấp dịch vụ chứng thực chữ ký số và các tiêu chuẩn chữ ký số; cung cấp chứng thư số gốc của tổ chức cung cấp dịch vụ chứng thực chữ ký số cho các nhà phát triển phần mềm để tích hợp vào phần mềm kiểm tra chữ ký số.
3. Khuyến khích tổ chức cung cấp dịch vụ chứng thực chữ ký số cung cấp dịch vụ kiểm tra trạng thái chứng thư số trực tuyến (OCSP).
4. Cung cấp dịch vụ cấp dấu thời gian.
Điều 14. Trách nhiệm của cơ quan, tổ chức sử dụng chữ ký số cho văn bản điện tử.
1. Ứng dụng phần mềm ký số, phần mềm kiểm tra chữ ký số quy định tại các Điều 11 và 12 Thông tư này.
2. Triển khai kết nối mạng theo quy định tại khoản 3, Điều 8, Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ đảm bảo an toàn, bảo mật và tính sẵn sàng cao.
3. Tổ chức quản lý các sản phẩm phần mềm (theo phiên bản) có chức năng ký số, kiểm tra chữ ký số, lưu trữ thông tin kèm theo văn bản điện tử ký số tương ứng với tiêu chuẩn, quy chuẩn kỹ thuật về chữ ký số mà phần mềm hỗ trợ nhằm đảm bảo tính sẵn sàng, tương thích và an toàn bảo mật trong quá trình sử dụng văn bản điện tử ký số đã lưu trữ.
Điều 15. Trách nhiệm của người đứng đầu cơ quan, tổ chức sử dụng chữ ký số
1. Thực hiện trách nhiệm của người đứng đầu quy định tại khoản 1, Điều 8, Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ.
2. Thường xuyên kiểm tra nhằm đảm bảo việc quản lý, sử dụng chữ ký số, chứng thư số tại cơ quan, tổ chức mình được thực hiện theo Thông tư này và các quy định khác có liên quan.
3. Căn cứ vào yêu cầu tổ chức, nghiệp vụ và đảm bảo an toàn thông tin trong giao dịch điện tử đề xuất cấp, thu hồi, tạm dừng chứng thư số cá nhân và chứng thư số cơ quan, tổ chức thuộc quyền quản lý.
4. Khi có yêu cầu chuyển đổi văn bản điện tử ký số đang được lưu trữ sang định dạng tệp văn bản mới (vì nguyên nhân an toàn thông tin hoặc vì sự lỗi thời của phần cứng, phần mềm), phải xây dựng phương án và được phê duyệt bởi cơ quan chuyên trách về công nghệ thông tin, đảm bảo khả năng tương thích và xác thực hiệu lực của chữ ký số.
Điều 16. Điều khoản chuyển tiếp
Chậm nhất sau 12 tháng kể từ ngày Thông tư có hiệu lực thi hành, các cơ quan, tổ chức đang sử dụng các phần mềm có chức năng ký số, kiểm tra chữ ký số chưa đáp ứng yêu cầu kỹ thuật và chức năng quy định tại Thông tư này thực hiện việc nâng cấp, bổ sung phần mềm ký số, phần mềm kiểm tra chữ ký số để đáp ứng quy định.
Điều 17. Điều khoản thi hành
1. Trung tâm Chứng thực điện tử quốc gia có trách nhiệm chủ trì, phối hợp với Vụ Pháp chế và các đơn vị có liên quan hướng dẫn, hỗ trợ kỹ thuật việc thực hiện các nội dung của Thông tư này.
2. Sở Thông tin và Truyền thông các tỉnh, thành phố trực thuộc Trung ương, các đơn vị chuyên trách về công nghệ thông tin các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ có trách nhiệm:
a) Phổ biến việc thực hiện các quy định của Thông tư này;
b) Hàng năm báo cáo Bộ Thông tin và Truyền thông (Trung tâm Chứng thực điện tử quốc gia) về tình hình sử dụng chữ ký số cho văn bản điện tử tại cơ quan, tổ chức.
Điều 18. Hiệu lực thi hành
1. Thông tư này có hiệu lực thi hành kể từ ngày 05 tháng 02 năm 2018.
2. Chánh Văn phòng, Giám đốc Trung tâm Chứng thực điện tử quốc gia, cơ quan, tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Thông tư này.
4. Trong quá trình thực hiện, nếu có khó khăn, vướng mắc, các cơ quan, tổ chức và cá nhân phản ánh kịp thời về Bộ Thông tin và Truyền thông (Trung tâm Chứng thực điện tử quốc gia) để xem xét, giải quyết./.
| Nơi nhận: | BỘ TRƯỞNG |
PHỤ LỤC
DANH MỤC TIÊU CHUẨN
VỀ CHỮ KÝ SỐ VÀ ĐỊNH DẠNG VĂN BẢN ĐIỆN TỬ KÝ SỐ
(Ban hành kèm theo Thông tư số 41/2017/TT-BTTTT ngày 19 tháng 12 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông)
| Số TT | Loại tiêu chuẩn | Ký hiệu tiêu chuẩn | Tên đầy đủ của tiêu chuẩn | Quy định áp dụng |
| 1 | Tiêu chuẩn về định dạng văn bản điện tử | |||
| 1.1 | Văn bản điện tử ký số (đáp ứng yêu cầu tại Điều 6 Thông tư này) | (.pdf) | Định dạng Portable | Bắt buộc áp dụng |
| 1.2 | Định dạng văn bản điện tử ký số khác bao gồm: văn bản, bảng tính, trình diễn, ảnh đồ họa | Tiêu chuẩn về văn bản, bảng tính, trình diễn, ảnh đồ họa thuộc danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin trong cơ quan nhà nước. | Khuyến khích áp dụng | |
| 2 | Tiêu chuẩn về chữ ký số | |||
| 2.1 | Tiêu chuẩn mật mã chữ ký số | PKCS#1 | RSA Cryptography Standard (Phiên bản 2.1 trở lên) | Bắt buộc áp dụng |
| TCVN 7635:2007 | Các kỹ thuật mật mã - Chữ ký số. | |||
| 2.2 | Tiêu chuẩn hàm băm an toàn | FIPS PUB 180-4 | Secure Hash Standard | Bắt buộc áp dụng hàm băm SHA- 256, 384, 512. |
| 2.3 | An toàn trao đổi bản tin XML | XML Encryption Syntax and Processing | XML Encryption Syntax and Processing | Bắt buộc áp dụng |
| XML Signature Syntax and Processing | XML Signature Syntax and Processing | Bắt buộc áp dụng | ||
| 2.4 | Quản lý khóa công khai bản tin XML | XKMS v2.0 | XML Key Management Specification version 2.0 | Bắt buộc áp dụng |
| 2.5 | Chuẩn cú pháp thông điệp mật mã cho ký số và mã hóa | PKCS#7 v1.5 (RFC 2315) | Cryptographic message syntax for file-based signing and encrypting | Bắt buộc áp dụng |
| 3 | Tiêu chuẩn dịch vụ cấp dấu thời gian | |||
| 3.1 | Giao thức cấp dấu thời gian | RFC 3161 | Internet X.509 Public Key Infrastructure - Time stample Prototol | Bắt buộc áp dụng |
| 3.2 | Dịch vụ cấp dấu thời gian | ISO/IEC | Information technology- Security techniques - Time Stamping services - Part 1: Framework | Bắt buộc áp dụng - Áp dụng bộ ba tiêu chuẩn: ISO/IEC 18014- 1:2008); ISO/IEC 18014- 2:2009); ISO/IEC 18014- 3:2009. |
| ISO/IEC | Information technology - Security techniques - Time Stamping services -Part 2: Mechanisms producing independent tokens | |||
| ISO/IEC | Information technology - Security techniques - Time-stamping services - Part 3: Mechanisms producing linked tokens | |||
|
THE MINISTRY OF INFORMATION AND COMMUNICATIONS No. 41/2017/TT-BTTTT |
THE SOCIALIST REPUBLIC OF VIETNAM Hanoi, December 19, 2017 |
CIRCULAR
Providing regulations on the use of digital signatures for electronic documents by state agencies
Pursuant to the Law on E-Transactions dated November 29, 2005;
Pursuant to the Law on Information Technology dated June 29, 2006;
The Government’s Decree No. 26/2007/ND-CP dated February 15, 2007, detailing the Law on E-Transactions regarding digital signatures and digital signature certification services, the Government’s Decree No. 106/2011/ND-CP dated November 23, 2011, amending and supplementing a number of articles of the Government’s Decree No. 26/2007/ND-CP dated February 15, 2007; the Government’s Decree No. 170/2013/ND-CP dated November 13, 2013, amending and supplementing a number of articles of the Government’s Decree No. 26/2007/ND-CP dated February 15, 2007, and the Government’s Decree No. 106/2011/ND-CP dated November 23, 2011;
Pursuant to the Government's Decree No. 64/2007/ND-CP dated April 10, 2007, on information technology application in state agencies' operations;
Pursuant to the Government’s Decree No. 01/2013/ND-CP dated January 3, 2013, detailing the implementation of a number of articles of the Law on Archives;
Pursuant to the Government's Decree No. 17/2017/ND-CP dated February 17, 2017, defining the functions, tasks, powers and organizational structure of the Ministry of Information and Communications;
The Minister of Information and Communication hereby promulgates the Circular providing regulations on the use of digital signatures for electronic documents by state agencies.
Chapter I
GENERAL PROVISIONS
Article 1. Scope of regulation
1. This Circular regulates the digital signing and verification of digital signatures given on electronic documents; technical and functional requirements of digital signature software, digital signature verification software for electronic documents in state agencies.
2. This Circular does not regulate the use of digital signatures for electronic documents containing information on the list of state secrets.
Article 2. Subjects of application
1. This Circular applies to agencies and organizations (including: ministries, ministerial-level agencies, Government-attached agencies, People's Committees at all levels, and non-business units funded by the state budget) and relevant organizations and individuals using digital signatures for electronic documents of state agencies.
2. Other agencies and organizations are encouraged to apply this Circular.
Article 3. Interpretation of terms
In this Circular, the terms below are construed as follows:
1. “Corporate digital certificate” means a digital certificate issued by a digital signature certification authority to the head of an agency or organization in accordance with law provisions.
2. “Private digital certificate” means a digital certificate issued by a digital signature certification authority to a person holding title in a state agency, a competent person of an agency or organization in accordance with law provisions on management and use of seals.
3. “Seal private key” means a private key corresponding to a corporate digital certificate.
4. “Private key” means a private key corresponding to a private digital certificate.
5. “Corporate digital signature” means a digital signature that is created when using a seal private key.
6. “Private digital signature” means a digital signature that is created when using a private key.
7. “Digital signature software” means a software that has a function to digitally sign an electronic document.
8. “Digital signature verification software” means a software that has a function to verify the validity of the digital signature on the electronic document.
9. “Authenticity of a digitally-signed document” means the identification of the individual or institutional signer of an electronic document by the digital signature thereto.
10. “Integrity of a digitally-signed document” means the fact that the content of an electronic document remains unchanged during the process of exchange, processing and storage after it is digitally signed.
11. “Online certificate status protocol” (OCSP) means a system providing the service that allows determining the current status of digital certificates.
12. “Private key storage device” means a physical device containing digital certificates and private keys of subscribers.
Article 4. Principles of using digital signatures for electronic documents
1. A digital signature must be affixed to the electronic document after digitally signing.
2. A digitally-signed document must ensure authenticity and integrity throughout the process of exchange, processing and storage of the digitally-signed document.
Article 5. Management of private key and seal private key
1. The person competent to give digital signature shall be responsible for securing the private key.
2. The head of an agency or organization shall be responsible for assigning a clerical staff to manage and use the seal private key according to regulations.
3. The device storing private key of a seal must be kept at the headquarter of the agency or organization in a safe manner.
Chapter II
REGULATIONS ON DIGITAL SIGNING AND VERIFICATION OF DIGITAL SIGNATURES GIVEN ON ELECTRONIC DOCUMENTS IN STATE AGENCIES
Article 6. Digital signing on electronic documents
1. The digital signing shall be made by digital signature software; the successful or unsuccessful digital signing of electronic documents shall be notified via the software.
2. Digital signing on electronic documents
a) In case where the laws require the competent persons to give digital signatures given on electronic documents, through digital signature software, such persons shall use the private key to digitally sign on the electronic document;
b) In case where the laws require agencies or organizations to give digital signatures given on electronic documents, through digital signature software, the clerical staff assigned to use the seal private keys of such agencies or organizations shall digitally sign the electronic document;
3. Information about the digital signatures of competent persons, agencies or organizations shall be displayed on electronic documents in accordance with Ministry of Home Affairs’ regulations.
4. Information about the persons competent to give digital signatures, agencies or organizations giving digital signatures digital signatures shall be managed in the database accompanying the digital signature software. The information managed is prescribed in Clause 4, Article 1 of the Government's Decree No. 106/2011/ND-CP dated November 23, 2011.
Article 7. Verification of digital signatures given on electronic documents
1. The verification of a digital signature given on electronic document shall be carried out as follows:
a) Decrypting the digital signature with the corresponding public key;
b) Verifying and checking the information of the signer on the digital certificate attached to the electronic document; the checking and verification of the signer information shall comply with Article 8 of this Circular;
c) Checking the integrity of the digitally-signed document.
2. The digital signature on the electronic document shall be considered valid when the information verification result shows that the signer’s digital certificate at the signing time is still valid, the digital signature is created by the private key corresponding to the public key on digital certificate, and the integrity of the electronic document is ensured.
3. Information about the individual or institutional signers on electronic documents must be managed in the database accompanying the digital signature verification software. The information managed is prescribed in Clause 4, Article 1 of the Government's Decree No. 106/2011/ND-CP dated November 23, 2011.
Article 8. Checking the validity of digital certificates
1. The validity of a digital certificate at the signing time shall be checked following the steps below:
a) Checking the validity of the digital certificate by using the certificate revocation list (CRL) published at the signing time or checking the validity of a digital certificate by using online certificate status protocol (OCSP);
b) When verifying a digital certificate of an individual signer on an electronic document, it is required to check the root digital signature certification authority.
2. A digital certificate shall be considered valid if it fully satisfies the following criteria:
a) Remaining valid at the signing time;
b) Being consistent with the digital certificate’s scope of use and the signer’s legal liability;
c) The digital certificate is still active at the time of digital signing.
3. The digital certificate shall be considered invalid if it fails to meet any of the criteria mentioned in Clause 2 of this Article.
Article 9. Archived information attached to digitally-signed document
1. Archived information attached to digitally-signed document includes:
a) With regard to an outgoing document:
- The signer’s digital certificate at the signing time;
- The certificate revocation list at the signing time by the digital signature certification authority;
- Certification rules of digital signature certification authority at the signing time;
- Information about the signer’s liability;
- Certification of valid time stamp at the signing time.
b) With regard to incoming documents:
- Digital certificates corresponding to digital signatures given on incoming documents;
- The certificate revocation list (CRL) at the signing time of the digital signature certification authority;
- Certification rules of the digital signature certification authority at the signing time;
- Information about the signer’s liability;
- Certification of valid time stamp at the time of receipt.
3. Archived information attached to the electronic document shall be managed by digital signature software, digital signature verification software appropriate to the storage period of the electronic document according to regulations.
Article 10. Cancellation of archived information attached to digitally-signed document
1. The archived information attached to digitally-signed document shall be cancelled together with the electronic document.
2. The cancellation of archived information attached to digitally-signed document must not affect other electronic documents while ensuring the ordinary operations of the system.
3. The cancellation of an archived information attached to digitally-signed document shall be carried out using a software.
Chapter III
TECHNICAL AND FUNCTIONAL REQUIREMENTS FOR DIGITAL SIGNATURE SOFTWARE AND DIGITAL SIGNATURE VERIFICATION SOFTWARE
Article 11. Technical and functional requirements for digital signature software
Digital signature software refers to an independent software or a software module that satisfies the following requirements:
1. Satisfying the technical standards and regulations prescribed in Appendices attached to this Circular;
2. Having function of digital signing on electronic documents in accordance with Clauses 2, 3 and 4, Article 6 of this Circular;
3. Having function of checking the validity of digital certificates prescribed in Article 8 of this Circular;
4. Having the function of managing archived information attached to digitally-signed documents prescribed in Article 9 of this Circular;
5. Having the function of cancelling archived information attached to digitally-signed documents prescribed in Article 10 of this Circular;
6. Having the function of sending notification (by words/by symbols) to the signer of the successful or unsuccessful digital signing;
7. Supporting the installation and integration of root digital certificate of the digital signature certification authority to digitally sign documents into the digital signature software to check the validity of the digital certificate on electronic documents;
8. Giving the time stamp at the time of digital signing.
Article 12. Technical and functional requirements for digital signature verification software
Digital signature verification software refers to an independent software or a software module with functions to verify digital signatures given on electronic documents that satisfies the following requirements:
1. Satisfying the technical standards and regulations prescribed in Appendices attached to this Circular;
2. Having function of verifying digital signatures given on electronic documents in accordance with Clauses 1, 2 and 3, Article 7 of this Circular;
3. Having the function of managing archived information attached to digitally-signed documents prescribed in Article 9 of this Circular;
4. Having the function of cancelling the information attached to digitally-signed documents prescribed in Article 10 of this Circular;
5. Supporting the installation and integration of root digital certificate of the digital signature certification authority to digitally sign documents into the digital signature verification software to check the validity of the digital certificate on electronic documents;
6. Having the function of sending notification of the result of checking whether the digital signature is valid or invalid to the inspector;
7. Giving the time stamp at the time of receiving incoming documents.
Chapter IV
IMPLEMENTATION ORGANIZATION
Article 13. Responsibilities of the digital signature certification authority
1. To fully and accurately store, update and publish the following information on the digital signature certification authority’s website and such website must be available 24/7 (to assist in checking the validity of digital signatures given on electronic documents)
a) Information related to the suspension and revocation of digital certificates and revoked digital certificates of the subscribers;
b) Information related to the subscribers’ digital certificates, the list of valid and invalid digital certificates;
c) Certification rules of the digital signature certification authority.
2. To disclose technical specifications (both documentation and toolkit) related to the digital signature certification authority and digital signature standards; to provide the root digital certificates of the digital signature certification authority to software developers to integrate into the digital signature verification software.
3. To encourage the digital signature certification authority to provide online certificate status protocol (OCSP).
4. To provide time stamping service.
Article 14. Responsibilities of agencies and organizations using digital signatures for electronic documents
1. To apply digital signature software and digital signature verification software as prescribed in Articles 11 and 12 of this Circular.
2. To deploy the network connection under Clause 3, Article 8 of the Government's Decree No. 64/2007/ND-CP dated April 10, 2007, ensuring safety, security and high availability.
3. To organize and manage software products (according to their versions) with the functions of digital signing, digital signature verification, storing information attached to digitally-signed documents corresponding to technical regulations and standards to which the software supports to ensure the availability, compatibility and security in the process of using stored digitally-signed documents.
Article 15. Responsibilities of heads of agencies and organizations using digital signatures
1. To perform the responsibilities of the head prescribed in Clause 1, Article 8 of the Government's Decree No. 64/2007/ND-CP dated April 10, 2007.
2. To regularly check to ensure that the management and use of digital signatures and digital certificates at their agencies or organizations comply with this Circular and other relevant regulations.
3. To make requests for issuance, revocation and suspension of private and corporate digital certificates under the management, based on professional requirements and requirements for information security in e-transactions.
4. Upon the request to convert a stored digitally signed electronic document to a new text file format (for information security reasons or because of hardware or software obsolescence), a plan must be developed and approved by a specialized agency in charge of information technology, ensuring compatibility and validation of digital signatures.
Article 16. Transitional provisions
Within 12 months from the effective date of this Circular, agencies and organizations using software with digital signing and digital signature verification functions that have not satisfy technical requirements and functions specified in this Circular shall upgrade and supplement digital signature software and digital signature verification software in accordance with regulations.
Article 17. Implementation provisions
1. The National Electronic Authentication Center (NEAC) shall assume the prime responsible for, and cooperate with the Department of Legal Affairs and relevant units in, providing guidance and technical assistance for the implementation of this Circular.
2. The provincial-level Departments of Information and Communications, the units in charge of information technology of ministries, ministerial-level agencies and government-attached agencies shall:
a) Disseminate the implementation of this Circular;
b) Report to the Ministry of Information and Communications (via National Electronic Authentication Center) of the use of digital signatures for electronic documents at agencies or organizations on an annual basis.
Article 18. Effect
1. This Circular takes effect from February 5, 2018.
2. The Chief of Office, Director of National Electronic Authentication Center, and relevant agencies, organizations and individuals shall implement this Circular.
4. Any difficulties arising in the course of implementation should be reported to the Ministry of Information and Communications (the National Electronic Authentication Center) for consideration and settlement./.
|
|
THE MINISTER |
APPENDIX
List of standards applicable to digital signatures and format of digitally-signed documents
(Attached to Circular No. 41/2017/TT-BTTTT dated December 19, 2017 of the Ministry of Information and Communications)
|
No. |
Type of standard |
Standard symbol |
Description of standard |
Application |
|
1 |
Standard in format of electronic document |
|||
|
1.1 |
Digitally-signed document (meeting requirements of Article 6 of this Circular) |
(.pdf) |
Portable Document (.pdf) - Version 1.4 or later |
Compulsory |
|
1.2 |
Other format of digitally-signed document including: docs, sheets, slides, graphic arts |
Standard in docs, sheets, slides, graphic arts in the list of technical standards in terms of application of information technology in state agencies. |
Recommended |
|
|
2 |
Digital signature standard |
|||
|
2.1 |
Digital signature cryptography standard |
PKCS#1 |
RSA Cryptography Standard (version 2.1 or later) |
Compulsory |
|
TCVN 7635:2007 |
Cryptography techniques - digital signature |
|||
|
2.2 |
Secure Hash Standard |
FIPS PUB 180-4 |
Secure Hash Standard |
SHA-256, 384, 512 are compulsory |
|
2.3 |
XML Encryption Syntax and Processing |
XML Encryption Syntax and Processing |
XML Encryption Syntax and Processing |
Compulsory |
|
XML Signature Syntax and Processing |
XML Signature Syntax and Processing |
Compulsory |
||
|
2.4 |
XML Key Management |
XKMS v2.0 |
XML Key Management Specification version 2.0 |
Compulsory |
|
2.5 |
Cryptographic message syntax for file-based signing and encrypting |
PKCS#7 v1.5 (RFC 2315) |
Cryptographic message syntax for file-based signing and encrypting |
Compulsory |
|
3 |
Standard applicable to time stamping service |
|||
|
3.1 |
Time-stamp Protocol |
RFC 3161 |
Internet X.509 Public Key Infrastructure - Time stamp Protocol |
Compulsory |
|
3.2 |
Time stamping services |
ISO/IEC |
Information technology- Security techniques - Time Stamping services - Part 1: Framework |
Compulsory - Apply ISO/IEC 18014- 1:2008); ISO/IEC 18014- 2:2009); ISO/IEC 18014- 3:2009. |
|
ISO/IEC |
Information technology - Security techniques - Time Stamping services -Part 2: Mechanisms producing independent tokens |
|||
|
ISO/IEC |
Information technology - Security techniques - Time-stamping services - Part 3: Mechanisms producing linked tokens |
|||
Vui lòng Đăng nhập tài khoản gói Nâng cao để xem đầy đủ bản dịch.
Chưa có tài khoản? Đăng ký tại đây
Lược đồ
Vui lòng Đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Lược đồ.
Chưa có tài khoản? Đăng ký tại đây
Chưa có tài khoản? Đăng ký tại đây