Đăng xuất
Việc làm Hồ Chí Minh
Thông tư 12/2025/TT-BKHCN quy định về thiết lập, vận hành Hệ thống tiếp nhận, tổng hợp dữ liệu phục vụ quản lý nhà nước về giao dịch điện tử của cơ quan nhà nước do Bộ trưởng Bộ Khoa học và Công nghệ ban hành
| Số hiệu | 12/2025/TT-BKHCN |
| Ngày ban hành | 11/07/2025 |
| Ngày có hiệu lực | 01/01/2026 |
| Loại văn bản | Thông tư |
| Cơ quan ban hành | Bộ Khoa học và Công nghệ |
| Người ký | Nguyễn Mạnh Hùng |
| Lĩnh vực | Công nghệ thông tin |
|
BỘ KHOA HỌC VÀ |
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: 12/2025/TT-BKHCN |
Hà Nội, ngày 11 tháng 7 năm 2025 |
Căn cứ Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;
Căn cứ Nghị định số 55/2025/NĐ-CP ngày 02 tháng 3 năm 2025 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Khoa học và Công nghệ;
Căn cứ Nghị định số 137/2024/NĐ-CP ngày 23 tháng 10 năm 2024 của Chính phủ quy định về giao dịch điện tử của cơ quan nhà nước và hệ thống thông tin phục vụ giao dịch điện tử;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Theo đề nghị của Cục trưởng Cục Chuyển đổi số quốc gia;
Bộ trưởng Bộ Khoa học và Công nghệ ban hành Thông tư quy định về thiết lập, vận hành Hệ thống tiếp nhận, tổng hợp dữ liệu phục vụ quản lý nhà nước về giao dịch điện tử của cơ quan nhà nước.
Thông tư này quy định về việc thiết lập, vận hành Hệ thống tiếp nhận, tổng hợp dữ liệu phục vụ quản lý nhà nước về giao dịch điện tử của cơ quan nhà nước theo khoản 4 Điều 18 Nghị định số 137/2024/NĐ-CP ngày 23 tháng 10 năm 2024 của Chính phủ quy định về giao dịch điện tử của cơ quan nhà nước và hệ thống thông tin phục vụ giao dịch điện tử.
Thông tư này xác định các yêu cầu chức năng, hiệu năng, an toàn thông tin cho hệ thống; trách nhiệm của các cơ quan liên quan trong việc kết nối và chia sẻ dữ liệu phục vụ quản lý nhà nước về giao dịch điện tử.
1. Cơ quan hành chính nhà nước (bao gồm Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân tỉnh, thành phố trực thuộc Trung ương) trực tiếp tham gia hoặc có liên quan đến giao dịch điện tử của cơ quan nhà nước và các hệ thống thông tin phục vụ giao dịch điện tử.
2. Các tổ chức, cá nhân có liên quan đến việc cung cấp giải pháp, xây dựng, phát triển, nâng cấp, mở rộng, vận hành các hệ thống thông tin phục vụ giao dịch điện tử, hoặc các hệ thống thông tin khác kết nối với Hệ thống tiếp nhận, tổng hợp dữ liệu để phục vụ quản lý nhà nước về giao dịch điện tử của cơ quan nhà nước.
Trong Thông tư này, những từ ngữ dưới đây được hiểu như sau:
1. Hệ thống tiếp nhận, tổng hợp dữ liệu phục vụ quản lý nhà nước về giao dịch điện tử của cơ quan nhà nước (viết tắt là Hệ thống DTM) là một thành phần mở rộng của Hệ thống thông tin báo cáo của Bộ Khoa học và Công nghệ theo quy định về chế độ báo cáo của cơ quan hành chính nhà nước, nhằm phục vụ hoạt động tổng hợp, phân tích, đánh giá, thu thập thông tin phục vụ công tác quản lý nhà nước về giao dịch điện tử, đảm bảo tính kịp thời, chính xác, an toàn và hiệu quả.
2. Hệ thống thông tin phục vụ quản lý nhà nước về giao dịch điện tử theo từng lĩnh vực, địa bàn (viết tắt là Hệ thống QLNN lĩnh vực, địa bàn) là một thành phần của hệ thống thông tin báo cáo, hoặc hệ thống thông tin phục vụ giao dịch điện tử, hoặc hệ thống thông tin, nền tảng số của các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương được thiết lập để thu thập, lưu trữ, xử lý và tổng hợp dữ liệu nhằm thực hiện nhiệm vụ quản lý nhà nước về giao dịch điện tử trong lĩnh vực, địa bàn thuộc phạm vi nhiệm vụ, quyền hạn được phân công.
3. Dữ liệu tổng hợp là dữ liệu đã được xử lý và kết hợp từ nhiều nguồn khác nhau, tạo thành thông tin có tính toàn diện cao hơn để phục vụ phân tích, báo cáo và hỗ trợ ra quyết định.
4. Phương thức tiếp nhận dữ liệu là tập hợp các cơ chế, kỹ thuật mà Hệ thống DTM áp dụng để thu thập dữ liệu, bao gồm 2 phương thức thu thập dữ liệu là: (i) kết nối trực tuyến, tự động và (ii) nhập trên Hệ thống DTM theo chế độ báo cáo. Đối với phương thức thu thập kết nối trực tuyến, tự động, bao gồm nhưng không giới hạn các loại dữ liệu thu thập là dữ liệu tức thời (real-time) và dữ liệu theo từng đợt (batch).
5. Giao diện lập trình ứng dụng (tên tiếng Anh là: Application Programming Interface, sau đây viết tắt là API) là tập hợp các chức năng, thủ tục cho phép kết nối, tương tác giữa Hệ thống DTM và các hệ thống thông tin khác.
6. Tiếp nhận dữ liệu tức thời (real-time) là phương thức tiếp nhận dữ liệu mà thông điệp dữ liệu được gửi đến hệ thống gần như đồng thời với sự kiện phát sinh thông điệp dữ liệu đó.
7. Tiếp nhận dữ liệu theo từng đợt là phương thức tiếp nhận những tập hợp thông điệp dữ liệu theo khoảng thời gian định kỳ như: hàng giờ, hàng ngày, hàng tuần...
8. Hình thức tiếp nhận dữ liệu là hình thức của dữ liệu được thu thập, bao gồm nhưng không giới hạn dữ liệu nguyên vẹn (raw data) và dữ liệu ẩn một phần (masking data) nhằm bảo đảm tính bảo mật.
9. Dữ liệu ẩn một phần là dữ liệu đã được xử lý để ẩn hoặc làm mờ một phần thông tin nhạy cảm, đảm bảo tính riêng tư nhưng vẫn giữ lại giá trị, tính hữu ích phục vụ phân tích hoặc xử lý.
10. Nguồn dữ liệu thu thập cho Hệ thống DTM theo quy định bao gồm:
|
BỘ KHOA HỌC VÀ |
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: 12/2025/TT-BKHCN |
Hà Nội, ngày 11 tháng 7 năm 2025 |
Căn cứ Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;
Căn cứ Nghị định số 55/2025/NĐ-CP ngày 02 tháng 3 năm 2025 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Khoa học và Công nghệ;
Căn cứ Nghị định số 137/2024/NĐ-CP ngày 23 tháng 10 năm 2024 của Chính phủ quy định về giao dịch điện tử của cơ quan nhà nước và hệ thống thông tin phục vụ giao dịch điện tử;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Theo đề nghị của Cục trưởng Cục Chuyển đổi số quốc gia;
Bộ trưởng Bộ Khoa học và Công nghệ ban hành Thông tư quy định về thiết lập, vận hành Hệ thống tiếp nhận, tổng hợp dữ liệu phục vụ quản lý nhà nước về giao dịch điện tử của cơ quan nhà nước.
Thông tư này quy định về việc thiết lập, vận hành Hệ thống tiếp nhận, tổng hợp dữ liệu phục vụ quản lý nhà nước về giao dịch điện tử của cơ quan nhà nước theo khoản 4 Điều 18 Nghị định số 137/2024/NĐ-CP ngày 23 tháng 10 năm 2024 của Chính phủ quy định về giao dịch điện tử của cơ quan nhà nước và hệ thống thông tin phục vụ giao dịch điện tử.
Thông tư này xác định các yêu cầu chức năng, hiệu năng, an toàn thông tin cho hệ thống; trách nhiệm của các cơ quan liên quan trong việc kết nối và chia sẻ dữ liệu phục vụ quản lý nhà nước về giao dịch điện tử.
1. Cơ quan hành chính nhà nước (bao gồm Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân tỉnh, thành phố trực thuộc Trung ương) trực tiếp tham gia hoặc có liên quan đến giao dịch điện tử của cơ quan nhà nước và các hệ thống thông tin phục vụ giao dịch điện tử.
2. Các tổ chức, cá nhân có liên quan đến việc cung cấp giải pháp, xây dựng, phát triển, nâng cấp, mở rộng, vận hành các hệ thống thông tin phục vụ giao dịch điện tử, hoặc các hệ thống thông tin khác kết nối với Hệ thống tiếp nhận, tổng hợp dữ liệu để phục vụ quản lý nhà nước về giao dịch điện tử của cơ quan nhà nước.
Trong Thông tư này, những từ ngữ dưới đây được hiểu như sau:
1. Hệ thống tiếp nhận, tổng hợp dữ liệu phục vụ quản lý nhà nước về giao dịch điện tử của cơ quan nhà nước (viết tắt là Hệ thống DTM) là một thành phần mở rộng của Hệ thống thông tin báo cáo của Bộ Khoa học và Công nghệ theo quy định về chế độ báo cáo của cơ quan hành chính nhà nước, nhằm phục vụ hoạt động tổng hợp, phân tích, đánh giá, thu thập thông tin phục vụ công tác quản lý nhà nước về giao dịch điện tử, đảm bảo tính kịp thời, chính xác, an toàn và hiệu quả.
2. Hệ thống thông tin phục vụ quản lý nhà nước về giao dịch điện tử theo từng lĩnh vực, địa bàn (viết tắt là Hệ thống QLNN lĩnh vực, địa bàn) là một thành phần của hệ thống thông tin báo cáo, hoặc hệ thống thông tin phục vụ giao dịch điện tử, hoặc hệ thống thông tin, nền tảng số của các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương được thiết lập để thu thập, lưu trữ, xử lý và tổng hợp dữ liệu nhằm thực hiện nhiệm vụ quản lý nhà nước về giao dịch điện tử trong lĩnh vực, địa bàn thuộc phạm vi nhiệm vụ, quyền hạn được phân công.
3. Dữ liệu tổng hợp là dữ liệu đã được xử lý và kết hợp từ nhiều nguồn khác nhau, tạo thành thông tin có tính toàn diện cao hơn để phục vụ phân tích, báo cáo và hỗ trợ ra quyết định.
4. Phương thức tiếp nhận dữ liệu là tập hợp các cơ chế, kỹ thuật mà Hệ thống DTM áp dụng để thu thập dữ liệu, bao gồm 2 phương thức thu thập dữ liệu là: (i) kết nối trực tuyến, tự động và (ii) nhập trên Hệ thống DTM theo chế độ báo cáo. Đối với phương thức thu thập kết nối trực tuyến, tự động, bao gồm nhưng không giới hạn các loại dữ liệu thu thập là dữ liệu tức thời (real-time) và dữ liệu theo từng đợt (batch).
5. Giao diện lập trình ứng dụng (tên tiếng Anh là: Application Programming Interface, sau đây viết tắt là API) là tập hợp các chức năng, thủ tục cho phép kết nối, tương tác giữa Hệ thống DTM và các hệ thống thông tin khác.
6. Tiếp nhận dữ liệu tức thời (real-time) là phương thức tiếp nhận dữ liệu mà thông điệp dữ liệu được gửi đến hệ thống gần như đồng thời với sự kiện phát sinh thông điệp dữ liệu đó.
7. Tiếp nhận dữ liệu theo từng đợt là phương thức tiếp nhận những tập hợp thông điệp dữ liệu theo khoảng thời gian định kỳ như: hàng giờ, hàng ngày, hàng tuần...
8. Hình thức tiếp nhận dữ liệu là hình thức của dữ liệu được thu thập, bao gồm nhưng không giới hạn dữ liệu nguyên vẹn (raw data) và dữ liệu ẩn một phần (masking data) nhằm bảo đảm tính bảo mật.
9. Dữ liệu ẩn một phần là dữ liệu đã được xử lý để ẩn hoặc làm mờ một phần thông tin nhạy cảm, đảm bảo tính riêng tư nhưng vẫn giữ lại giá trị, tính hữu ích phục vụ phân tích hoặc xử lý.
10. Nguồn dữ liệu thu thập cho Hệ thống DTM theo quy định bao gồm:
- Các Hệ thống quản lý nhà nước (QLNN) lĩnh vực, địa bàn;
- Các hệ thống thông tin phục vụ giao dịch điện tử;
- Các tổ chức và cá nhân cung cấp dữ liệu;
- Các hệ thống thông tin, nền tảng số khác.
1. Việc thiết lập Hệ thống DTM bảo đảm thực hiện trách nhiệm quản lý nhà nước về giao dịch điện tử của Bộ Khoa học và Công nghệ (trước đây là Bộ Thông tin và Truyền thông) theo Điều 48 và Điều 50 Luật Giao dịch điện tử số 20/2023/QH15 ngày 22 tháng 6 năm 2023.
2. Hệ thống DTM bảo đảm các yêu cầu sau:
a) Tuân thủ Khung kiến trúc Chính phủ số Việt Nam.
b) Kết nối, thu thập dữ liệu từ các hệ thống thông tin phục vụ giao dịch điện tử và các Hệ thống QLNN lĩnh vực, địa bàn theo một trong hai phương thức: (i) kết nối trực tuyến, tự động hoặc (ii) nhập trên Hệ thống DTM theo chế độ báo cáo.
Điều 5. Yêu cầu chức năng đối với Hệ thống DTM
Hệ thống DTM phải đáp ứng các yêu cầu chức năng tối thiểu sau:
1. Chức năng tiếp nhận dữ liệu từ nhiều nguồn khác nhau, hỗ trợ các phương thức và định dạng tiếp nhận đa dạng theo quy định, bảo đảm khả năng mở rộng, tích hợp với các hệ thống khác và tương tác qua chuẩn mở
2. Chức năng xử lý, phân loại, tổng hợp, làm giàu, phân tích dữ liệu; hỗ trợ khai phá dữ liệu lớn (big data), trực quan hóa kết quả nhằm phục vụ hiệu quả hoạt động quản lý, đánh giá và ra quyết định.
3. Chức năng quản lý lược đồ dữ liệu (schema) và metadata: Cho phép định nghĩa, công bố, kiểm soát lược đồ dữ liệu, metadata kèm theo; hỗ trợ truy xuất nguồn gốc (data lineage) và chuẩn hóa dữ liệu phục vụ liên thông, chia sẻ.
4. Chức năng lập báo cáo, thống kê linh hoạt, hỗ trợ truy xuất theo thời gian thực hoặc định kỳ theo yêu cầu quản lý.
5. Chức năng kiểm thử, giám sát hiệu năng tự động: Hệ thống tự động kiểm tra các chỉ số tải trang, thời gian phản hồi, truy cập đồng thời, cảnh báo sớm khi có dấu hiệu bất thường hoặc vượt ngưỡng quy định.
6. Chức năng quản trị hệ thống toàn diện, bao gồm quản lý người dùng, phân quyền truy cập, cấu hình tự động, đối soát dữ liệu, sao lưu và phục hồi dữ liệu, hỗ trợ mô hình phân cụm, cân bằng tải và phục hồi sau thảm họa.
7. Chức năng đảm bảo an toàn thông tin mạng, an ninh mạng, mã hóa dữ liệu (truyền và lưu trữ), xác thực đa yếu tố (MFA), quản lý chứng thư số, kiểm thử bảo mật định kỳ, ghi nhận và giám sát các sự kiện an toàn thông tin.
8. Chức năng ghi nhật ký hệ thống, theo dõi, giám sát và lưu trữ toàn bộ hoạt động truy cập, thao tác dữ liệu, thay đổi cấu hình để phục vụ kiểm toán, thanh tra, kiểm tra và đảm bảo trách nhiệm giải trình; nhật ký phải không thể chỉnh sửa và được lưu trữ tối thiểu 1 năm hoặc theo quy định pháp luật.
9. Chức năng kiểm toán và minh bạch: Cung cấp công cụ, báo cáo kiểm toán tự động về truy cập, thay đổi, chia sẻ dữ liệu, giúp tăng minh bạch và phục vụ công tác thanh tra, điều tra sự cố.
10. Chức năng chia sẻ dữ liệu chuẩn hóa, liên thông với các hệ thống thông tin khác của bộ, ngành, địa phương, đảm bảo tuân thủ các tiêu chuẩn kỹ thuật, bảo mật, quản trị dữ liệu, và hỗ trợ truy cập, khai thác linh hoạt trên nhiều nền tảng (bao gồm cả di động và thiết bị hỗ trợ người khuyết tật).
1. Hệ thống phải bảo đảm hiệu năng tải trang phù hợp với trải nghiệm của người sử dụng, bao gồm: thời gian hiển thị nội dung đầu tiên, thời gian hiển thị nội dung tối đa, thời gian tải nội dung, thời gian đáp ứng. Các chỉ tiêu chi tiết được quy định tại Phụ lục 02 ban hành kèm theo Thông tư này.
2. Hệ thống phải bảo đảm hiệu năng xử lý tổng thể bao gồm: thời gian phản hồi trung bình, thời gian phản hồi tối đa, khả năng đáp ứng số lượng truy cập đồng thời và số người dùng hoạt động đồng thời. Các yêu cầu chi tiết được nêu tại Phụ lục 02 ban hành kèm theo Thông tư này.
Điều 7. Yêu cầu bảo đảm an toàn thông tin
1. Hệ thống DTM tuân thủ, áp dụng đầy đủ các quy định về bảo đảm an toàn thông tin mạng, an ninh mạng.
2. Hệ thống DTM phải được kiểm tra, đánh giá an toàn thông tin mạng định kỳ, đột xuất theo quy định và trước khi được đưa vào vận hành, khai thác theo quy định của pháp luật.
Điều 8. Quy định chung về kết nối, chia sẻ dữ liệu đối với Hệ thống DTM
1. Thông tin, dữ liệu được Hệ thống DTM thu thập từ các nguồn sau:
a) Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ.
b) Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương.
c) Các tổ chức, doanh nghiệp, cá nhân có liên quan trong việc cung cấp giải pháp xây dựng, phát triển, nâng cấp, mở rộng, vận hành các hệ thống thông tin phục vụ giao dịch điện tử.
2. Phương thức thu thập thông tin, dữ liệu của Hệ thống DTM
a) Kết nối trực tuyến, tự động: các Hệ thống thông tin phục vụ giao dịch điện tử, Hệ thống QLNN lĩnh vực, địa bàn kết nối và chia sẻ dữ liệu trực tuyến với Hệ thống DTM. Hệ thống DTM thực hiện việc thu thập thông tin, dữ liệu tự động thông qua các API.
b) Nhập trên Hệ thống DTM theo chế độ báo cáo: Các loại thông tin, dữ liệu được thu thập theo chế độ báo cáo, do các tổ chức, cá nhân quy định tại khoản 1 Điều này nhập lên Hệ thống DTM.
c) Các phương thức khác theo quy định về hình thức, chế độ báo cáo định kỳ, tuy nhiên, phương thức gửi chế độ báo cáo định kỳ của Bộ Khoa học và Công nghệ không được khuyến khích áp dụng để đảm bảo sự thống nhất, hiệu quả trong tổng hợp, xử lý.
3. Các loại thông tin, dữ liệu được Hệ thống DTM tiếp nhận
a) Chiến lược, kế hoạch và chính sách phát triển giao dịch điện tử; văn bản quy phạm pháp luật về giao dịch điện tử; tiêu chuẩn, quy chuẩn kỹ thuật, yêu cầu kỹ thuật, định mức kinh tế - kỹ thuật, chất lượng sản phẩm, dịch vụ trong giao dịch điện tử.
b) Số liệu báo cáo, đo lường, thống kê hoạt động giao dịch điện tử; dữ liệu giám sát an toàn hệ thống thông tin phục vụ giao dịch điện tử của chủ quản hệ thống thông tin.
c) Số liệu về công tác đào tạo, bồi dưỡng, phát triển nguồn nhân lực, chuyên gia trong giao dịch điện tử.
d) Dữ liệu phục vụ thanh tra, kiểm tra, giải quyết khiếu nại, tố cáo và xử lý vi phạm pháp luật về giao dịch điện tử; dữ liệu liên quan đến hành vi vi phạm, có dấu hiệu, nguy cơ lợi dụng hệ thống thông tin để thực hiện hành vi vi phạm pháp luật Việt Nam; báo cáo về vụ việc đã xảy ra.
đ) Dữ liệu khác khi có sự đồng thuận bằng văn bản giữa cơ quan quản lý Hệ thống DTM và chủ quản Hệ thống thông tin phục vụ giao dịch điện tử, đảm bảo tuân theo nội dung tại Điều 10 và Điều 11 của Thông tư này.
4. Cơ quan, tổ chức thực hiện kết nối, chia sẻ dữ liệu với Hệ thống DTM có trách nhiệm lưu trữ đầy đủ nhật ký kết nối, chia sẻ dữ liệu trong thời gian tối thiểu 01 năm kể từ thời điểm kết nối hoàn thành để phục vụ công tác theo dõi, kiểm tra, giám sát.
5. Bộ Khoa học và Công nghệ (Cục Chuyển đổi số quốc gia) chủ trì tổ chức kiểm tra, giám sát, đánh giá đối với việc kết nối giữa Hệ thống DTM và các hệ thống liên quan định kỳ hàng năm.
Điều 9. Quy định cụ thể về kết nối, chia sẻ dữ liệu đối với Hệ thống DTM
1. Hệ thống thông tin phục vụ giao dịch điện tử phải thực hiện việc kết nối và chia sẻ thông tin, dữ liệu với Hệ thống QLNN lĩnh vực, địa bàn hoặc Hệ thống DTM.
2. Các Hệ thống QLNN lĩnh vực, địa bàn phải thực hiện việc kết nối, chia sẻ thông tin, dữ liệu tổng hợp với Hệ thống DTM để phục vụ công tác thống kê, đánh giá, dự báo và ra quyết định.
3. Hệ thống DTM duy trì đồng thời 02 phương thức tiếp nhận dữ liệu là tiếp nhận dữ liệu tức thời (real-time) và tiếp nhận dữ liệu theo từng đợt (batch). Tùy theo điều kiện kỹ thuật, tình hình thực tế về hiệu năng hệ thống, đường truyền, tính chất dữ liệu... các bên liên quan có thể lựa chọn một trong hai phương thức hoặc kết hợp cả hai phương thức.
4. Hệ thống DTM hỗ trợ đồng thời 02 hình thức tiếp nhận dữ liệu: tiếp nhận dữ liệu nguyên vẹn (raw data) và tiếp nhận dữ liệu ẩn một phần (masking data). Việc áp dụng hình thức tiếp nhận cụ thể phụ thuộc vào tính chất của dữ liệu, yêu cầu bảo mật, yêu cầu đặc thù khác và sự thống nhất giữa cơ quan quản lý Hệ thống và đơn vị cung cấp dữ liệu theo một trong hai hình thức trên.
5. Yêu cầu kỹ thuật phục vụ kết nối chia sẻ dữ liệu với Hệ thống DTM được quy định tại Phụ lục 01 ban hành kèm theo Thông tư này.
1. Cung cấp đầy đủ, chính xác, kịp thời thông tin, tài liệu cần thiết để thực hiện kết nối hệ thống của cơ quan chủ quản với Hệ thống DTM.
2. Tổ chức thực hiện việc kết nối và chia sẻ dữ liệu giữa hệ thống của cơ quan chủ quản với Hệ thống DTM theo đúng nội dung, yêu cầu kỹ thuật, lộ trình đã thống nhất với cơ quan quản lý hệ thống.
3. Phối hợp chặt chẽ với cơ quan quản lý Hệ thống DTM trong quá trình rà soát, kiểm tra, đối soát, đảm bảo dữ liệu thu thập được đầy đủ, toàn vẹn, chính xác, kịp thời.
4. Kịp thời thông báo cho cơ quan quản lý Hệ thống DTM khi có sự thay đổi về hạ tầng kỹ thuật, phần mềm, cấu trúc dữ liệu, cấu hình hệ thống hoặc bất kỳ yếu tố nào có thể ảnh hưởng đến việc truyền, tiếp nhận, xử lý dữ liệu.
5. Bảo đảm thực hiện đầy đủ các biện pháp giám sát an toàn thông tin mạng trong quá trình kết nối, chia sẻ dữ liệu và bảo mật dữ liệu khai thác từ Hệ thống DTM; tuân thủ các quy định về bảo vệ dữ liệu cá nhân.
6. Quyết định nội dung dữ liệu không chia sẻ theo thẩm quyền, trong trường hợp dữ liệu thuộc phạm vi bí mật nhà nước, căn cứ Điều 9 Luật Bí mật nhà nước số 29/2018/QH14 ngày 15 tháng 11 năm 2018 và các văn bản hướng dẫn liên quan.
7. Thực hiện báo cáo định kỳ hàng năm gửi Bộ Khoa học và Công nghệ (Cục Chuyển đổi số quốc gia) về tình hình triển khai kết nối, khai thác và sử dụng dữ liệu chia sẻ với Hệ thống DTM.
Nội dung báo cáo bao gồm: tình hình kết nối, các chỉ số sử dụng, vướng mắc phát sinh và đề xuất kiến nghị (nếu có). Thời điểm gửi báo cáo chậm nhất vào ngày 31 tháng 12 hằng năm hoặc đột xuất theo yêu cầu của cơ quan quản lý Hệ thống.
Điều 11. Trách nhiệm của cơ quan quản lý Hệ thống DTM
1. Xây dựng, công bố Hệ thống DTM.
2. Xây dựng, công bố, cập nhật kịp thời tài liệu hướng dẫn kỹ thuật và hỗ trợ kỹ thuật cho các cơ quan, tổ chức thực hiện kết nối hệ thống với Hệ thống DTM.
3. Chủ trì, phối hợp với cơ quan chủ quản các hệ thống kết nối với Hệ thống DTM và tổ chức, cá nhân có liên quan xử lý kịp thời sự cố, vướng mắc phát sinh trong quá trình kết nối, chia sẻ dữ liệu.
4. Tổ chức thực hiện đầy đủ các biện pháp bảo đảm an toàn thông tin cho Hệ thống DTM tuân thủ quy định của pháp luật về an toàn thông tin mạng, an ninh mạng và bảo vệ dữ liệu cá nhân.
5. Đảm bảo công tác quản trị, vận hành, duy trì Hệ thống DTM hoạt động ổn định, liên tục, hiệu quả, an toàn thông tin mạng và an ninh mạng.
6. Chia sẻ dữ liệu tổng hợp về giao dịch điện tử với các bộ, ngành, địa phương khi có đề nghị chính đáng, cần thiết để phục vụ nhiệm vụ quản lý nhà nước, đảm bảo tuân thủ quy định.
7. Tổng hợp, đánh giá và công bố báo cáo kết nối, khai thác dữ liệu của các hệ thống đã tích hợp vào Hệ thống DTM định kỳ hàng năm. Báo cáo cần phản ánh các nội dung chính về mức độ kết nối, tần suất sử dụng, chỉ số khai thác, an toàn thông tin và khuyến nghị kỹ thuật để nâng cao hiệu quả vận hành hệ thống. Báo cáo có thể công bố công khai toàn phần hoặc tóm tắt theo quy định hiện hành.
1. Bộ trưởng, Thủ trưởng cơ quan ngang Bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân tỉnh, thành phố trực thuộc trung ương và các cơ quan, tổ chức, cá nhân liên quan chịu trách nhiệm thi hành Thông tư này.
2. Các tổ chức, cá nhân có liên quan có trách nhiệm tuân thủ thực hiện kết nối, chia sẻ dữ liệu với Hệ thống DTM theo đúng quy định.
3. Bộ Khoa học và Công nghệ (Cục Chuyển đổi số quốc gia) có trách nhiệm:
a) Chủ trì, phối hợp với cơ quan, tổ chức có hệ thống kết nối với Hệ thống DTM và cơ quan, tổ chức có liên quan để xử lý sự cố, vướng mắc phát sinh trong quá trình thiết lập, duy trì kết nối, chia sẻ dữ liệu.
b) Tổ chức kiểm tra, giám sát, đánh giá định kỳ và đột xuất việc triển khai kết nối, chia sẻ dữ liệu với Hệ thống DTM theo quy định của pháp luật; tổ chức công bố kết quả kiểm tra, giám sát, đánh giá định kỳ hàng năm theo quy định của pháp luật và yêu cầu quản lý nhà nước.
1. Thông tư này có hiệu lực kể từ ngày 01/01/2026.
2. Trong quá trình thực hiện, nếu có khó khăn, vướng mắc, các cơ quan, đơn vị phản ánh kịp thời về Bộ Khoa học và Công nghệ (Cục Chuyển đổi số quốc gia) để được hướng dẫn, hỗ trợ, xử lý.
Điều 14. Điều khoản chuyển tiếp
Trong thời hạn 01 năm kể từ ngày Thông tư này có hiệu lực, các bộ, ngành, địa phương và các đơn vị liên quan có trách nhiệm rà soát, xây dựng, điều chỉnh, mở rộng hoặc nâng cấp các hệ thống thông tin hiện có để bảo đảm đáp ứng yêu cầu kỹ thuật, kết nối, chia sẻ dữ liệu với Hệ thống tiếp nhận, tổng hợp dữ liệu phục vụ quản lý nhà nước về giao dịch điện tử của cơ quan nhà nước theo quy định tại Thông tư này./.
|
|
BỘ TRƯỞNG |
YÊU CẦU KỸ THUẬT PHỤC VỤ KẾT NỐI HỆ
THỐNG THÔNG TIN PHỤC VỤ GIAO DỊCH ĐIỆN TỬ CỦA CƠ QUAN NHÀ NƯỚC
(Ban hành kèm theo Thông tư số 12/2025/TT-BKHCN ngày 11/7/2025 của Bộ trưởng
Bộ Khoa học và Công nghệ)
1. Yêu cầu chung
1.1. Hệ thống phải đảm bảo khả năng mở rộng: Khi tích hợp thêm các hệ thống hoặc cơ quan mới, hệ thống phải duy trì được hiệu suất và khả năng xử lý dữ liệu ổn định, không gây ảnh hưởng đến các giao dịch đang hoạt động hoặc làm tăng đáng kể thời gian phản hồi.
1.2. Hỗ trợ đa ngôn ngữ: Bảo đảm hệ thống có thể vận hành ở nhiều địa phương hoặc trong các tổ chức có đặc thù riêng về ngôn ngữ, hỗ trợ sự đa dạng của các đơn vị gửi dữ liệu.
1.3. Hoạt động liên tục 24/7: Hệ thống phải bảo đảm luôn sẵn sàng, với thời gian gián đoạn tối đa không vượt quá 1% tổng thời gian trong năm, bao gồm cả thời gian bảo trì.
1.4. Khả năng phục hồi sau thảm họa (Disaster Recovery): Hệ thống phải xây dựng và duy trì phương án sao lưu, phục hồi dữ liệu, đảm bảo vận hành liên tục khi xảy ra sự cố lớn hoặc thiên tai. Khuyến khích hệ thống lớn sử dụng Cloud hoặc DR site; các hệ thống nhỏ, địa phương có thể lựa chọn giải pháp phù hợp như thuê ngoài hoặc sử dụng dịch vụ cloud trong nước. Kiểm tra, diễn tập phục hồi dữ liệu định kỳ tối thiểu 1 lần/năm đối với hệ thống lớn; hệ thống nhỏ tổ chức kiểm tra phù hợp điều kiện thực tế, đảm bảo khả năng phục hồi dữ liệu.
1.5. Kiểm soát chất lượng và hợp nhất dữ liệu: Hệ thống phải từng bước xây dựng chức năng kiểm tra, đối chiếu và hợp nhất dữ liệu từ nhiều nguồn khác nhau để hạn chế trùng lặp, sai sót. Đối với hệ thống mới hoặc dữ liệu đã chuẩn hóa, thực hiện tự động hóa kiểm soát và hợp nhất. Đối với hệ thống cũ, cho phép kết hợp giữa kiểm tra tự động, kiểm tra thủ công và triển khai từng phần theo lộ trình, phù hợp điều kiện thực tế.
1.6. Khả năng tương tác và tuân thủ tiêu chuẩn mở (Interoperability and Open Standards Compliance): Hệ thống phải được thiết kế để dễ dàng tương tác với các hệ thống khác thông qua việc tuân thủ các tiêu chuẩn mở được công nhận rộng rãi về định dạng dữ liệu (ví dụ: JSON, XML, Excel, CSV, Parquet,...), giao thức truyền thông, và API, đồng thời tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật quốc gia (TCVN, QCVN) về dữ liệu và an toàn thông tin có liên quan.
1.7. Quản trị dữ liệu và tuân thủ: Hệ thống hỗ trợ thực thi chính sách quản trị dữ liệu, cho phép theo dõi dòng đời, quản lý phiên bản dữ liệu, đồng thời đảm bảo tuân thủ các quy định pháp lý liên quan, nhất là về bảo vệ dữ liệu cá nhân. Đối với hệ thống mới hoặc hệ thống được nâng cấp, yêu cầu triển khai đầy đủ các chức năng quản trị dữ liệu, quản lý phiên bản và dòng đời dữ liệu. Đối với hệ thống cũ, có thể thực hiện theo lộ trình phù hợp, ưu tiên trước việc đảm bảo tuân thủ các quy định về bảo vệ dữ liệu cá nhân, đồng thời từng bước bổ sung chức năng theo dõi, lưu vết, quản lý phiên bản dữ liệu khi nâng cấp hệ thống hoặc thay đổi công nghệ.
1.8. Khả năng kiểm toán (Auditability): Tất cả các truy cập, thay đổi dữ liệu, thay đổi cấu hình và các hành động quản trị quan trọng phải được ghi nhật ký chi tiết, an toàn, không thể sửa đổi (immutable logs) để phục vụ cho việc kiểm toán, điều tra sự cố và đảm bảo trách nhiệm giải trình. Nhật ký vận hành, nhật ký bảo mật cần được lưu trữ tối thiểu 1 năm (hoặc theo quy định của pháp luật).
1.9. Khả năng sử dụng và tiếp cận (Usability and Accessibility): Nếu hệ thống có giao diện người dùng, giao diện này phải trực quan, dễ sử dụng và tuân thủ các tiêu chuẩn về khả năng tiếp cận để đảm bảo người dùng khuyết tật cũng có thể sử dụng được.
1.10. Đánh giá, kiểm thử và đảm bảo an toàn: Hệ thống phải thực hiện kiểm thử xâm nhập (Penetration Testing), đánh giá bảo mật độc lập định kỳ theo quy định pháp luật về an toàn thông tin và an ninh mạng.
2. Giao tiếp qua API có xác thực
2.1. Hỗ trợ chuẩn RESTful và SOAP: Đảm bảo hệ thống dễ dàng, thuận tiện khi kết nối, chia sẻ dữ liệu với các hệ thống khác.
2.2. Quản lý phiên bản API (API Versioning): Mỗi API cần hỗ trợ quản lý phiên bản (versioning), đảm bảo khả năng duy trì hoạt động, không gián đoạn dịch vụ khi cập nhật, mở rộng hoặc nâng cấp hệ thống. Đối với hệ thống mới hoặc được nâng cấp, bắt buộc áp dụng quản lý phiên bản API. Đối với hệ thống cũ chưa hỗ trợ versioning, có thể áp dụng giải pháp quản lý phiên bản từng bước, ưu tiên duy trì tính ổn định hoạt động hiện tại, đồng thời xây dựng lộ trình nâng cấp hoặc bổ sung versioning khi thực hiện bảo trì, mở rộng tích hợp mới.
2.3. Cơ chế kiểm soát lưu lượng (rate-limiting): Hạn chế số lượng yêu cầu API trong một khoảng thời gian nhằm bảo vệ hệ thống khỏi tình trạng quá tải do các cuộc tấn công hoặc lưu lượng không hợp lệ. Cấu hình ngưỡng kiểm soát linh hoạt theo từng nghiệp vụ. Hệ thống mới cần triển khai đầy đủ cơ chế rate-limiting. Đối với hệ thống cũ, khuyến khích từng bước bổ sung hoặc cấu hình kiểm soát lưu lượng cơ bản phù hợp điều kiện kỹ thuật, ưu tiên các API có nguy cơ cao hoặc tần suất truy cập lớn.
2.4. Bảo vệ chống tấn công injection: Các API phải được hỗ trợ cấu hình để lọc và kiểm tra các tham số đầu vào, ngăn chặn các mã độc hoặc dữ liệu bất thường gây lỗi. Đối với hệ thống cũ, trong trường hợp chưa thể tự động kiểm tra toàn diện, yêu cầu tối thiểu phải rà soát thủ công và bổ sung kiểm tra các tham số đầu vào ở các API trọng yếu, đồng thời từng bước nâng cấp bổ sung tính năng bảo vệ khi có điều kiện bảo trì, phát triển mới.
2.5. Các cơ quan, tổ chức hoặc ứng dụng sử dụng API phải thực hiện xác thực thông qua các phương thức bảo mật hiện đại, bao gồm ít nhất một trong các hình thức như API Key, OAuth2.0 hoặc OpenID Connect. Mỗi tổ chức, ứng dụng được cấp thông tin xác thực riêng biệt. Cơ chế quản lý phải đảm bảo chỉ những ứng dụng, người dùng được cấp quyền mới có thể truy cập API, đồng thời hỗ trợ thu hồi, phân quyền và ghi nhật ký truy cập đầy đủ theo quy định.
2.6. Mã hóa dữ liệu API: Toàn bộ dữ liệu kết nối, chia sẻ phải được mã hóa bằng giao thức HTTPS và SSL/TLS hợp lệ để bảo vệ khỏi việc đánh cắp hoặc giả mạo.
2.7. Tài liệu hóa API (API Documentation): Cung cấp tài liệu API chi tiết, rõ ràng, dễ hiểu và cập nhật (ưu tiên sử dụng chuẩn OpenAPI/Swagger) cho các nhà phát triển tích hợp.
2.8. Sử dụng và Quản lý API qua Cổng API (API Gateway)
a) Bắt buộc triển khai và sử dụng Cổng API (API Gateway) đối với các hệ thống thông tin phục vụ giao dịch điện tử được xác định là quy mô lớn hoặc quy mô rất lớn theo quy định của pháp luật về giao dịch điện tử của cơ quan nhà nước và hệ thống thông tin phục vụ giao dịch điện tử. Cổng API phải được sử dụng để quản lý tập trung toàn bộ các API, nhằm kiểm soát truy cập, phân phối, bảo vệ, ghi nhận nhật ký, giám sát hoạt động, phát hiện và ngăn chặn các hành vi bất thường, đồng thời nâng cao hiệu quả, tính linh hoạt và an toàn của hệ thống API.
b) Khuyến khích việc áp dụng Cổng API (API Gateway) đối với các hệ thống thông tin không thuộc phạm vi quy định tại điểm a khoản này nhằm tăng cường khả năng quản lý, bảo mật, giám sát và hiệu quả hoạt động của các API.
3. Gửi dữ liệu tổng hợp theo định dạng tổng quát
3.1. Hệ thống phải hỗ trợ tối thiểu các định dạng dữ liệu trao đổi phổ biến như JSON, XML; đồng thời khuyến khích hỗ trợ các định dạng phục vụ xử lý dữ liệu lớn (Big Data) như CSV, Parquet.
3.2. Định nghĩa lược đồ dữ liệu và metadata: Các loại dữ liệu được trao đổi cần được định nghĩa và công bố rõ ràng lược đồ dữ liệu (ví dụ: XSD cho XML, JSON Schema cho JSON) đi kèm với bộ chỉ dẫn metadata, nhằm đảm bảo tính nhất quán, khả năng xác thực tự động, truy xuất nguồn gốc và chuẩn hóa dữ liệu giữa các hệ thống. Đối với hệ thống cũ, có thể áp dụng theo lộ trình chuyển đổi phù hợp: trước mắt đảm bảo tối thiểu định nghĩa rõ các trường dữ liệu chính, đồng thời khuyến khích hoàn thiện dần đầy đủ lược đồ và metadata theo mẫu dùng chung do cơ quan chủ quản ban hành hoặc hướng dẫn.
3.3. Trường dữ liệu an toàn thông tin: Bổ sung các thông tin liên quan đến trạng thái bảo mật và mức độ ưu tiên của dữ liệu để hệ thống xử lý đúng quy trình.
3.4. Kiểm tra, xác thực và chất lượng dữ liệu: Hệ thống phải tự động kiểm tra định dạng, loại dữ liệu, tuân thủ lược đồ dữ liệu và các yêu cầu nghiệp vụ khác trước khi tiếp nhận hoặc cho phép tải lên, đảm bảo chất lượng và giảm thiểu lỗi.
3.5. Hỗ trợ xuất/nhập dữ liệu linh hoạt: Hệ thống cho phép các tổ chức, người dùng dễ dàng trích xuất hoặc nhập dữ liệu theo các định dạng phổ biến (CSV, Excel, JSON, XML, DOCX) phục vụ công tác tổng hợp, báo cáo hoặc xử lý nghiệp vụ, góp phần giảm thiểu rủi ro khi thao tác thủ công.
4. Bảo đảm an toàn thông tin
4.1. Cảnh báo sớm: Tích hợp các giải pháp IDS/IPS giúp phát hiện các hành vi bất thường như đăng nhập trái phép, giới hạn truy cập dựa trên địa chỉ IP (cấu hình blacklist, whitelist, giới hạn địa chỉ IP nước ngoài).
4.2. Mã hóa dữ liệu lưu trữ: Dữ liệu lưu trữ tại hệ thống phải được mã hóa bằng các thuật toán mạnh (AES-256) để ngăn chặn truy cập trái phép ngay cả khi hệ thống bị xâm nhập.
4.3. Xác thực đa yếu tố (MFA): Áp dụng cho các tài khoản quản trị để giảm thiểu rủi ro từ các cuộc tấn công chiếm quyền truy cập.
4.4. Báo cáo và khắc phục lỗ hổng: Mỗi lỗ hổng bảo mật phát hiện được phải có báo cáo chi tiết và kế hoạch xử lý với thời gian cụ thể, đảm bảo hệ thống không bị đe dọa lâu dài.
4.5. Bảo mật giao thức kết nối: Sử dụng các giao thức bảo mật kết nối, thường xuyên cập nhật, nâng cấp các giao thức bảo mật không an toàn.
5. Giám sát và báo cáo
5.1. Chỉ số hiệu năng thời gian thực: Hệ thống phải cung cấp dashboard hiển thị các chỉ số quan trọng như thời gian phản hồi, tỷ lệ lỗi, số giao dịch trong ngày... để theo dõi trực tiếp. Đối với hệ thống quy mô nhỏ, có thể sử dụng các giải pháp dashboard cơ bản hoặc tích hợp vào hệ thống giám sát tập trung của cơ quan chủ quản cấp trên.
5.2. Tích hợp giám sát tập trung và quy trình cảnh báo: Dữ liệu giám sát, log hoạt động phải được lưu trữ tối thiểu 1 năm (hoặc theo quy định của pháp luật). Hệ thống nên tích hợp quy trình cảnh báo sự cố tự động, hỗ trợ gửi cảnh báo qua nhiều kênh phù hợp điều kiện thực tế (như email, ứng dụng, dashboard). Đối với hệ thống nhỏ, khuyến khích áp dụng hình thức cảnh báo phù hợp năng lực và nhu cầu; có thể kết nối chung vào hệ thống cảnh báo của đơn vị chủ quản hoặc thuê ngoài dịch vụ giám sát khi cần thiết.
5.3. Báo cáo định kỳ: Báo cáo phải phân tích chi tiết về hiệu suất của hệ thống trong kỳ, bao gồm số giao dịch thành công, thất bại và các nguyên nhân.
YÊU CẦU VỀ HIỆU NĂNG HỆ THỐNG TIẾP
NHẬN, TỔNG HỢP DỮ LIỆU PHỤC VỤ QUẢN LÝ NHÀ NƯỚC VỀ GIAO DỊCH ĐIỆN TỬ CỦA CƠ
QUAN NHÀ NƯỚC
(Ban hành kèm theo Thông tư số 12/2025/TT-BKHCN ngày
11/7/2025 của Bộ trưởng Bộ Khoa học và Công nghệ)
1. Yêu cầu hiệu năng tải trang (UX)
Hiệu năng tải trang dành cho trải nghiệm người sử dụng trong điều kiện băng thông tối thiểu 100 Mbps:
|
TT |
Yêu cầu |
Yêu cầu cụ thể |
|
1 |
Thời gian hiển thị nội dung đầu tiên |
Là thời gian mà người sử dụng phải đợi để nhìn thấy nội dung đầu tiên trên giao diện hiển thị sau khi trang bắt đầu được tải. Yêu cầu dưới 3 giây. Khuyến khích đáp ứng thời gian nhỏ hơn tùy theo tình hình thực tiễn. |
|
2 |
Thời gian hiển thị nội dung tối đa |
Là thời gian mà trình duyệt cần để hiển thị phần nội dung lớn nhất của giao diện hiển thị (có thể là một hình ảnh, video...). Yêu cầu dưới 4 giây. Khuyến khích đáp ứng thời gian nhỏ hơn tùy theo tình hình thực tiễn. |
|
3 |
Thời gian tải nội dung |
Là thời gian mà giao diện hiển thị cần để hiển thị đầy đủ nội dung trên màn hình. Yêu cầu dưới 5,8 giây. Khuyến khích đáp ứng thời gian nhỏ hơn tùy theo tình hình thực tiễn. |
|
4 |
Thời gian đáp ứng |
Là thời gian mà giao diện hiển thị cần để xử lý mỗi tác vụ (request) trong quá trình tải trang. Yêu cầu dưới 0,6 giây. Khuyến khích đáp ứng thời gian nhỏ hơn tùy theo tình hình thực tiễn. |
2. Yêu cầu hiệu năng của hệ thống
|
TT |
Yêu cầu |
Yêu cầu cụ thể |
|
1 |
Thời gian phản hồi trung bình |
Hệ thống có thời gian phản hồi trung bình dưới 2,5 giây đối với mỗi luồng công việc chính riêng rẽ và không bao gồm các luồng mang tính chất thống kê, báo cáo (thời gian phản hồi được tính từ khi người sử dụng gửi yêu cầu đáp ứng tới hệ thống cho đến khi nhận được dữ liệu phản hồi từ hệ thống). |
|
2 |
Thời gian phản hồi tối đa |
Hệ thống có thời gian phản hồi tối đa dưới 30 giây đối với toàn bộ các thao tác trên toàn trang. |
|
3 |
Truy cập đồng thời |
Hệ thống có khả năng đáp ứng ít nhất 500 truy cập đồng thời hoặc theo yêu cầu cụ thể. |
|
4 |
Số người sử dụng hoạt động đồng thời |
Hệ thống có khả năng đáp ứng số người sử dụng hoạt động đồng thời (có thực hiện các tác vụ khác nhau phát sinh yêu cầu gửi đến hệ thống) ít nhất bằng 1/6 lần số lượng truy cập đồng thời (Tương đương mức độ hoạt động của người dùng đã thành thạo hệ thống). |
