Quyết định 2433/QĐ-BTTTT 2017 định mức kinh tế kỹ thuật kiểm tra chứng thực chữ ký số

BỘ THÔNG TIN VÀ TRUYỀN THÔNG -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: 2433/QĐ-BTTTT	Hà Nội, ngày 29 tháng 12 năm 2017

 

QUYẾT ĐỊNH

CÔNG BỐ ĐỊNH MỨC KINH TẾ - KỸ THUẬT KIỂM TRA, ĐÁNH GIÁ HỆ THỐNG CHỨNG THỰC CHỮ KÝ SỐ

BỘ TRƯỞNG BỘ THÔNG TIN VÀ TRUYỀN THÔNG

Căn cứ Luật Giao dịch điện tử ngày 29/11/2005;

Căn cứ Luật Công nghệ thông tin ngày 29/6/2006;

Căn cứ Nghị định số 26/2007/NĐ-CP ngày 15/02/2007 của Chính phủ quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số;

Căn cứ Nghị định số 201/CP ngày 26/5/1981 của Hội đồng Chính phủ về quản lý định mức kinh tế - kỹ thuật;

Căn cứ Nghị định số 17/2017/NĐ-CP ngày 17/02/2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;

Theo đề nghị của Vụ trưởng Vụ Kế hoạch - Tài chính,

QUYẾT ĐỊNH:

Điều 1. Công bố kèm theo Quyết định này Định mức kinh tế - kỹ thuật kiểm tra, đánh giá hệ thống chứng thực chữ ký số áp dụng đối với Trung tâm Chứng thực điện tử quốc gia.

Điều 2. Trung tâm Chứng thực điện tử quốc gia căn cứ định mức ban hành kèm theo Quyết định này và quy định hiện hành để xây dựng đơn giá, dự toán kinh phí thực hiện công tác kiểm tra, đánh giá hệ thống chứng thực chữ ký số theo quy định hiện hành.

Điều 3. Chánh Văn phòng, Vụ trưởng Vụ Kế hoạch - Tài chính, Giám đốc Trung tâm Chứng thực điện tử quốc gia và Thủ trưởng các đơn vị liên quan có trách nhiệm thi hành Quyết định này./.

 

Nơi nhận: - Như Điều 3; - Bộ TTTT: Bộ trưởng và các Thứ trưởng, Trung tâm NEAC, Cổng Thông tin điện tử; - Lưu: VT, KHTC (16).

KT. BỘ TRƯỞNG THỨ TRƯỞNG Nguyễn Minh Hồng

 

ĐỊNH MỨC KINH TẾ - KỸ THUẬT

KIỂM TRA, ĐÁNH GIÁ HỆ THỐNG CHỨNG THỰC CHỮ KÝ SỐ
(Ban hành kèm theo Quyết định số 2433/QĐ-BTTTT ngày 29/12/2017 của Bộ trưởng Bộ Thông tin và Truyền thông)

 

MỤC LỤC

CHƯƠNG I: HƯỚNG DẪN CHUNG

CHƯƠNG II. CÁC ĐỊNH MỨC CỤ THỂ

Mục 1. KIỂM TRA, ĐÁNH GIÁ HOẠT ĐỘNG CÔNG BỐ THÔNG TIN

11.11. Công bố chính sách, yêu cầu và các hướng dẫn về hoạt động cung cấp dịch vụ chứng thực chữ ký số của CA

11.12. Chính sách chứng thư (nếu có)

Mục 2. KIỂM TRA, ĐÁNH GIÁ CÔNG TÁC QUẢN LÝ CÁC HOẠT ĐỘNG CUNG CẤP DỊCH VỤ

12.11. Quản lý quy chế chứng thực

12.12. Quản lý chính sách chứng thư (nếu có)

12.13. Đánh giá sự phù hợp giữa quy chế chứng thực và chính sách chứng thư (nếu có)

Mục 3. KIỂM TRA, ĐÁNH GIÁ HOẠT ĐỘNG KIỂM SOÁT MÔI TRƯỜNG CA

13.11. Quản lý an toàn thông tin

13.12. Quản lý và phân loại tài sản

13.13. Bảo mật nhân sự

13.14. Bảo mật môi trường vật lý

13.15. Quản lý hoạt động

13.16. Quản lý truy cập hệ thống

13.17. Phát triển và bảo trì hệ thống

13.18. Quản lý tính liên tục của hoạt động kinh doanh

13.19. Giám sát và tuân thủ

13.20. Nhật ký sự kiện.

Mục 4. KIỂM TRA, ĐÁNH GIÁ CÔNG TÁC KIỂM SOÁT VÒNG ĐỜI KHÓA CỦA CA

14.11. Tạo khóa CA

14.12. Lưu, sao lưu và phục hồi khóa CA

14.13. Phân phối khóa công khai CA

14.14. Sử dụng khóa CA

14.15. Lưu trữ và hủy khóa

14.16. Lộ khóa CA

14.17. Quản lý vòng đời thiết bị mật mã CA

14.18. Ủy thác khóa CA (nếu có)

Mục 5. KIỂM TRA, ĐÁNH GIÁ HOẠT ĐỘNG KIỂM SOÁT VÒNG ĐỜI KHÓA THUÊ BAO

15.11. Tạo và phân phối khóa của thuê bao

15.12. Lưu trữ và phục hồi khóa thuê bao (nếu hỗ trợ)

15.13. Quản lý vòng đời thẻ chip tích hợp (nếu hỗ trợ)

15.14. Những yêu cầu với quản lý khóa thuê bao

Mục 6. KIỂM TRA, ĐÁNH GIÁ HOẠT ĐỘNG KIỂM SOÁT VÒNG ĐỜI CHỨNG THƯ SỐ

16.11. Đăng ký thuê bao

16.12. Gia hạn chứng thư số (nếu có)

16.13. Cấp mới khóa chứng thư số

16.14. Cấp chứng thư số

16.15. Công bố chứng thư số

16.16. Thu hồi chứng thư số

16.17. Tạm dừng và khôi phục chứng thư số

16.18. Kiểm tra trạng thái chứng thư số

 

ĐỊNH MỨC KINH TẾ - KỸ THUẬT

KIỂM TRA, ĐÁNH GIÁ HỆ THỐNG CHỨNG THỰC CHỮ KÝ SỐ
(Ban hành kèm theo Quyết định số 2433/QĐ-BTTTT ngày 29/12/2017 của Bộ trưởng Bộ Thông tin và Truyền thông)

Chương I

HƯỚNG DẪN CHUNG

1. Định mức kinh tế - kỹ thuật trong hoạt động kiểm tra, đánh giá hệ thống chứng thực chữ ký số quy định hao phí trực tiếp về nhân công, vật liệu, thiết bị để hoàn thành một đơn vị khối lượng công việc trong hoạt động kiểm tra, đánh giá hệ thống chứng thực chữ ký số.

2. Định mức kinh tế - kỹ thuật kiểm tra, đánh giá hệ thống chứng thực chữ ký số làm căn cứ để Trung tâm Chứng thực điện tử quốc gia để xây dựng đơn giá, dự toán kinh phí thực hiện nhiệm vụ kiểm tra, đánh giá hệ thống chứng thực chữ ký số.

3. Nội dung định mức

Định mức này xác định các nội dung hao phí trong hoạt động kiểm tra, đánh giá hệ thống chứng thực chữ ký số, bao gồm:

a) Mức hao phí nhân công trực tiếp

Là thời gian lao động tính bằng ngày công của nhân công trực tiếp để hoàn thành một đơn vị khối lượng công việc trong hoạt động kiểm tra, đánh giá hệ thống chứng thực chữ ký số.

Một ngày công tính bằng 8 giờ làm việc.

b) Mức hao phí vật liệu

Mức hao phí vật liệu là số lượng vật liệu trực tiếp cần thiết để hoàn thành một đơn vị khối lượng công việc trong hoạt động kiểm tra, đánh giá hệ thống chứng thực chữ ký số.

c) Mức hao phí thiết bị

Mức hao phí thiết bị là thời gian (tính bằng giờ) sử dụng thiết bị trực tiếp để hoàn thành một đơn vị khối lượng công tác.

Thời hạn sử dụng thiết bị được quy định hiện hành Bộ Tài chính quy định chế độ quản lý, tính hao mòn tài sản cố định trong các cơ quan nhà nước, đơn vị sự nghiệp công lập và các tổ chức có sử dụng ngân sách nhà nước.

4. Hướng dẫn áp dụng

a) Định mức chỉ bao gồm các hao phí trực tiếp (nhân công, thiết bị, vật liệu) để hoàn thành một đơn vị khối lượng công việc trong hoạt động kiểm tra, đánh giá hệ thống chứng thực chữ ký số.

Định mức không bao gồm hao phí di chuyển, hao phí trực tiếp / gián tiếp khác phát sinh trong quá trình tiến hành hoạt động kiểm tra, đánh giá hệ thống chứng thực chữ ký số. Căn cứ nhiệm vụ cụ thể, đơn vị áp dụng định mức xây dựng dự toán bổ sung nội dung này.

Trong thành phần hao phí nhân công của định mức chưa tính đến công của chuyên gia nước ngoài đối với những công việc cần chuyên gia nước ngoài, trường hợp phát sinh, được tính bổ sung dự toán theo quy định hiện hành.

b) Trong thành phần hao phí thiết bị của định mức chưa tính đến hao phí các thiết bị đặc thù đối với những công việc cần thiết bị đặc thù, trường hợp phát sinh, đơn vị áp dụng định mức xây dựng dự toán bổ sung nội dung này.

c) Cấp bậc kỹ sư quy định trong Định mức này là cấp bậc kỹ sư được vận dụng quy định tại Bảng 3-Bảng lương chuyên môn, nghiệp vụ đối với cán bộ, viên chức trong các đơn vị sự nghiệp của Nhà nước, ban hành kèm theo Nghị định số 204/2004/NĐ-CP ngày 14/12/2004 của Chính phủ về chế độ tiền lương đối với cán bộ, công chức, viên chức và lực lượng vũ trang

d) Trường hợp, hoạt động kiểm tra, đánh giá hệ thống chứng thực chữ ký số phát sinh các yếu tố đặc thù, định mức này không phù hợp thì đơn vị áp dụng định mức xây dựng dự toán, trình cấp có thẩm quyền phê duyệt theo quy định.

5. Quy trình hoạt động kiểm tra, đánh giá hệ thống chứng thực chữ ký số

Giải thích quy trình

(1) Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá

a) Nhiệm vụ: Chuẩn bị các thông tin, tài liệu liên quan tới nội dung kiểm tra, đánh giá để phục vụ hoạt động kiểm tra, đánh giá hệ thống chứng thực chữ ký số.

b) Nội dung công việc: Trong quá trình này, cán bộ tiến hành thu thập, xem xét tất các tài liệu có thể có của tổ chức cung cấp dịch vụ chứng thực chữ ký số (sau đây viết tắt là CA) để phục vụ công tác kiểm tra, đánh giá. Các tài liệu được xem xét bao gồm:

- Tài liệu chính sách thư (sau đây viết tắt là CP).

- Tài liệu quy chế chứng thực (sau đây viết tắt là CPS).

- Các hướng dẫn cho thuê bao.

- Các tài liệu hướng dẫn vận hành cho CA và đại lý của CA (sau đây viết tắt là RA).

- Kho chứa của CA.

- Chứng thư số của CA.

- Danh sách thu hồi chứng thư (sau đây viết tắt là CRL).

- Chứng thư số của thực thể cuối (các thuê bao, các điều hành viên của CA, RA).

- Hướng dẫn kích hoạt thiết bị phần cứng để lưu trữ cặp khóa (sau đây viết tắt là HSM).

- Các tài liệu khác cần thiết liên quan tới nội dung kiểm tra, đánh giá.

Một số tài liệu trên phải được lưu trữ sẵn sàng và được cung cấp trực tuyến, một số tài liệu khác cán bộ tiến hành kiểm tra có thể yêu cầu cung cấp trực tiếp từ CA.

c) Kết quả: Các thông tin, tài liệu liên quan phục vụ hoạt động kiểm tra, đánh giá hệ thống chứng thực chữ ký số đã được thu thập đầy đủ.

(2) Tiến hành kiểm tra, đánh giá

a) Nhiệm vụ: Kiểm tra, đánh giá việc thực hiện tuân thủ các quy định pháp luật về cung cấp dịch vụ chứng thực chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số đối với nội dung, tiêu chí kiểm tra cụ thể.

b) Nội dung công việc: Trong giai đoạn kiểm tra này, kiểm toán/đánh giá viên đến trực tiếp CA và phỏng vấn các nhân viên chịu trách nhiệm về quản lý và điều hành của CA, kiểm tra chứng cứ và các thiết bị vật lý,..., quan sát quy trình quản lý và vận hành của hệ thống. Dưới đây là ví dụ về các nội dung có thể được kiểm tra:

- Phòng CA.

- Máy chủ CA bao gồm cả HSM và việc kích hoạt nó.

- Thiết bị lưu trữ dự phòng khóa bí mật của CA và nơi lưu trữ nó (két sắt).

- Thiết bị lưu trữ ngoại tuyến chứa các chìa khóa kích hoạt CA.

- Chứng thư số của thực thế cuối.

- Các nhật ký sự kiện của máy chủ CA/RA.

- Các nhật ký sự kiện của kho lưu trữ của CA (máy chủ web).

- Các hồ sơ của hoạt động khóa bí mật của CA (nhật ký kích hoạt HSM, sử dụng khóa bí mật).

- Nhật ký truy cập phòng CA.

- Các tài liệu khác như báo cáo theo ngày của các điều hành viên CA.

Các nội dung tiến hành kiểm tra, đánh giá phụ thuộc vào các tiêu chí kiểm tra, đánh giá đặt ra ban đầu đối với hệ thống chứng thực chữ ký số.

c) Kết quả: Hoàn thành xác định các kết quả kiểm tra việc tuân thủ quy định pháp luật của tổ chức cung cấp dịch vụ chứng thực chữ ký số đối với nội dung, tiêu chí cụ thể.

(3) Xây dựng báo cáo kết quả kiểm tra, đánh giá

a) Nhiệm vụ: Tổng hợp, xây dựng báo cáo kết quả thực hiện kiểm tra, đánh giá việc tuân thủ quy định pháp luật về dịch vụ chứng thực chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số.

b) Nội dung công việc: Cán bộ thực hiện xây dựng dự thảo các báo cáo kiểm tra, đánh giá hệ thống CA dựa trên các kết quả của quá trình thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá và kết quả của quá trình thực hiện kiểm tra, đánh giá trực tiếp tại tổ chức cung cấp dịch vụ chứng thực chữ ký số. Báo cáo kiểm tra, đánh giá hệ thống CA bao gồm (không giới hạn) một số nội dung chính sau:

- Căn cứ thực hiện.

- Thành phần trực tiếp kiểm tra, đánh giá.

- Địa điểm và thời gian kiểm tra, đánh giá.

- Mục tiêu tiến hành kiểm tra, đánh giá.

- Kết quả kiểm tra, đánh giá hệ thống CA.

- Một số kết luận, đề xuất (nếu có).

Báo cáo kiểm tra, đánh giá hệ thống sẽ được dữ thảo và gửi cho CA, nhằm yêu cầu các sự cải thiện, thay đổi bổ sung, thống nhất và gửi các đơn vị liên quan trực tiếp.

c) Kết quả: Báo cáo kết quả kiểm tra, đánh giá hệ thống chứng thực chữ ký số trong đó nêu rõ các nội dung, tiêu chí tiến hành kiểm tra và kết quả thực hiện của tổ chức cung cấp dịch vụ chứng thực chữ ký số.

Chương II

CÁC ĐỊNH MỨC CỤ THỂ

Mục 1. KIỂM TRA, ĐÁNH GIÁ HOẠT ĐỘNG CÔNG BỐ THÔNG TIN

11.11. Công bố chính sách, yêu cầu và các hướng dẫn về hoạt động cung cấp dịch vụ chứng thực chữ ký số của CA

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra việc thực hiện quy định nghĩa vụ công khai và duy trì thông tin 24 giờ trong ngày và 7 ngày trong tuần trên trang tin điện tử của CA.

- Kiểm tra CPS được công khai và tuân thủ theo tiêu chuẩn, quy định của pháp luật.

- Kiểm tra việc thực hiện nghĩa vụ cung cấp các thông tin khác.

- Kiểm tra việc thực hiện nghĩa vụ duy trì thông tin trên trang tin điện tử 24 giờ trong ngày và 7 ngày trong tuần thông tin theo quy định:

- Kiểm tra việc thực hiện nghĩa vụ CA phải niêm yết công khai quy trình giải quyết khiếu nại liên quan tới dịch vụ được cung cấp tại các điểm giao dịch.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
11.11	Lao động:
	Kỹ sư 3/9	Công	3,97
	Vật liệu:
	Giấy A4	Ram	0,006
	Mực in laser	Hộp	0,0024
	Sổ	Quyển	0,04
	Bút bi	Chiếc	0,2
	Thiết bị:
	Máy tính xách tay	Giờ	3,17
	Máy in laser	Giờ	0,22

11.12. Chính sách chứng thư (nếu có)

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra việc thực hiện nghĩa vụ CP được cung cấp và cập nhật trên Website.

- Kiểm tra CP có cấu trúc tài liệu phù hợp với tiêu chuẩn RFC3647

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
11.12	Lao động: Kỹ sư 3/9	Công	1,53
	Vật liệu:
	Giấy A4	Ram	0,006
	Mực in laser	Hộp	0,0024
	Sổ	Quyển	0,02
	Bút bi	Chiếc	0,08
	Thiết bị:
	Máy tính xách tay	Giờ	1,23
	Máy in laser	Giờ	0,09

Mục 2. KIỂM TRA, ĐÁNH GIÁ CÔNG TÁC QUẢN LÝ CÁC HOẠT ĐỘNG CUNG CẤP DỊCH VỤ

12.11. Quản lý quy chế chứng thực

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá

- Kiểm tra CA cung cấp đầy đủ thông tin về tổ chức/bộ phận xây dựng và quản lý CPS

- Kiểm tra CA có quy trình xây dựng, xét duyệt CPS và đảm bảo các nội dung của CPS tuân thủ các quy định của pháp luật về chữ ký số và dịch vụ chứng thực chữ ký số.

- Kiểm tra CA thực hiện cung cấp CPS tới các bên liên quan (người sử dụng, bên tin tưởng, cơ quan quản lý,...)

- Kiểm tra CA thực hiện quản lý phiên bản và cung cấp đầy đủ các phiên bản CPS tới các bên liên quan.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
12.11	Lao động: Kỹ sư 3/9	Công	1,42
	Vật liệu:
	Giấy A4	Ram	0,3
	Mực in laser	Hộp	0,12
	Sổ	Quyển	0,01
	Bút bi	Chiếc	0.07
	Thiết bị: Máy tính xách tay	Giờ	1,13
	Máy in laser	Giờ	0,79

12.12. Quản lý Chính sách chứng thư (nếu có)

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá

- Kiểm tra CA cung cấp đầy đủ thông tin về tổ chức/bộ phận xây dựng và quản lý CP

- Kiểm tra CA có quy trình xây dựng, xét duyệt CP và đảm bảo các nội dung của CP tuân thủ các quy định của pháp luật về chữ ký số và dịch vụ chứng thực chữ ký số.

- Kiểm tra CA thực hiện cung cấp CP tới các bên liên quan (người sử dụng, bên tin tưởng, cơ quan quản lý,...)

- Kiểm tra CA có quy trình rà soát, đánh giá các chính sách chứng thư được hỗ trợ đầy đủ, hiệu quả bởi các nội dung của Quy chế chứng thực CPS.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
12.12	Lao động:
	Kỹ sư 3/9	Công	1,38
	Vật liệu:
	Giấy A4	Ram	0,3
	Mực in laser	Hộp	0,12
	Sổ	Quyển	0,01
	Bút bi	Chiếc	0.07
	Thiết bị:
	Máy tính xách tay	Giờ	1,11
	Máy in laser	Giờ	0,077

12.13. Đánh giá sự phù hợp giữa quy chế chứng thực và chính sách chứng thực (nếu có)

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá

- Kiểm tra CA cung cấp thông tin về tổ chức/bộ phận chịu trách nhiệm đánh giá, đảm bảo sự phù hợp giữa các CPs và CPS

- Kiểm tra CA đề cập tới các CPs và các chính sách khác phải tuân thủ khi xây dựng, thực hiện các quy chế trong CPS.

- Kiểm tra CA thực hiện đánh giá tính tương thích CP/CPS khi tiến hành cập nhật, thay đổi CPS

- Kiểm tra CA có quy trình rà soát, đánh giá để đảm bảo các nội dung của CP được đề cập, thực hiện hóa trong CPS

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
12.13	Lao động:
	Kỹ sư 3/9	Công	1,37
	Vật liệu:
	Giấy A4	Ram	0,1
	Mực in laser	Hộp	0,04
	Sổ	Quyển	0,01
	Bút bi	Chiếc	0.07
	Thiết bị:
	Máy tính xách tay	Giờ	1,09
	Máy in laser	Giờ	0,077

Mục 3. KIỂM TRA, ĐÁNH GIÁ HOẠT ĐỘNG KIỂM SOÁT MÔI TRƯỜNG CA

13.11. Quản lý an toàn thông tin

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra tài liệu kế hoạch và quản lý rủi ro của tổ chức theo xu hướng giảm thiểu tối đa sự tiếp xúc trực tiếp với môi trường Internet.

- Kiểm tra duy trì đảm bảo an toàn cơ sở hạ tầng, hệ thống và các thông tin của CA khi có sự truy cập từ bên ngoài.

- Kiểm tra phương án và quy trình bảo mật thông tin của thuê bao trong suốt thời gian cung cấp dịch vụ.

- Kiểm tra tài liệu chính sách quản lý bảo mật hệ thống.

- Kiểm tra CA duy trì đảm bảo rằng các biện pháp quản lý và hỗ trợ cho bảo mật thông tin được cung cấp.

- Kiểm tra CA duy trì đảm bảo rằng bảo mật thông tin được quản lý một cách phù hợp bên trong tổ chức.

- Kiểm tra CA duy trì đảm bảo rằng bảo mật của phòng ốc CA, hệ thống và các tài sản thông tin được truy xuất bởi bên thứ 3 được duy trì.

- Kiểm tra CA duy trì đảm bảo rằng bảo mật thông tin được duy trì khi mà một chức năng của CA được outsource ra cho một tổ chức khác hoặc thực thể khác.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
13.11	Lao động:
	Kỹ sư 3/9	Công	6,52
	Vật liệu:
	Giấy A4	Ram	0,2
	Mực in laser	Hộp	0,08
	Sổ	Quyển	0,07
	Bút bi	Chiếc	0.33
	Thiết bị:
	Máy tính xách tay	Giờ	1,21
	Máy in laser	Giờ	0,365

13.12. Quản lý và phân loại tài sản

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra việc quản lý và phân loại tài sản phù hợp với các quy định trong quy chế vận hành CPS. Tham chiếu cùng với hồ sơ xin cấp phép dịch vụ chứng thực chữ ký số công cộng đã được đồng ý cấp phép.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
13.12	Lao động:
	Kỹ sư 2/9	Công	2,15
	Vật liệu:
	Giấy A4	Ram	0,1
	Mực in laser	Hộp	0,04
	Sổ	Quyển	0,02
	Bút bi	Chiếc	0,11
	Thiết bị:
	Máy tính xách tay	Giờ	1,72
	Máy in laser	Giờ	0,12

13.13. Bảo mật nhân sự

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra hồ sơ nhân sự tham gia quản lý, vận hành CA đối chiếu các điều kiện về nhân sự theo quy định của pháp luật.

- Kiểm tra CA có các kiểm soát, quy trình về kiểm soát nhân sự.

- Kiểm tra Quy trình kiểm tra lý lịch nhân sự.

- Kiểm tra CA các kiểm soát yêu cầu về trình độ, đào tạo của nhân sự.

- Kiểm tra CA có quy trình kỷ luật, xử lý vi phạm và các quy định nội bộ khác.

- Kiểm tra CA có các kiểm soát về nhân sự khi ký thỏa thuận với các nhà thầu độc lập, đối tác (RA).

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
13.13	Lao động: Kỹ sư 3/9	Công	3,37
	Vật liệu:
	Giấy A4	Ram	0,02
	Mực in laser	Hộp	0,008
	Sổ	Quyển	0,03
	Bút bi	Chiếc	0,17
	Thiết bị: Máy tính xách tay	Giờ	2,69
	Máy in laser	Giờ	0,189

13.14. Bảo mật môi trường vật lý

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra CA có chính sách phân quyền truy cập mức vật lý tới các trang thiết bị, cơ sở hạ tầng, phân chia mức truy cập cho nhân sự.

- Kiểm tra CA có quy định về bảo trì các trang thiết bị.

- Kiểm tra CA có quy trình biện pháp ngăn chặn việc thất thoát, hư hỏng tài sản khi thực hiện các hoạt động nghiệp vụ.

- Kiểm tra quy trình bảo vệ và ngăn chặn việc truy cập bất hợp pháp các thông tin của hệ thống.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
13.14	Lao động:
	Kỹ sư 3/9	Công	4,32
	Vật liệu:
	Giấy A4	Ram	0,03
	Mực in laser	Hộp	0,006
	Sổ	Quyển	0,04
	Bút bi	Chiếc	0,22
	Thiết bị:
	Máy tính xách tay	Giờ	3,45
	Máy in laser	Giờ	0,242

13.15. Quản lý hoạt động

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra việc vận hành CA đúng theo CPS.

- Kiểm tra CA có quy trình xử lý sự cố đảm bảo giảm mức tối thiểu các nguy cơ gây hại cho CA thông qua việc sử dụng các báo cáo sự cố và thủ tục ứng cứu.

- Kiểm tra quy trình vận hành an toàn thông tin cho hệ thống CA

- Kiểm tra quy trình bảo trì các thiết bị lưu trữ không bị hư hại, trộm cắp và truy cập trái phép

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
13.15	Lao động:
	Kỹ sư 3/9	Công	3,03
	Vật liệu:
	Giấy A4	Ram	0,02
	Mực in laser	Hộp	0,004
	Sổ	Quyển	0,03
	Bút bi	Chiếc	0,15
	Thiết bị:
	Máy tính xách tay	Giờ	2,43
	Máy in laser	Giờ	0,17

13.16. Quản lý truy cập hệ thống

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra việc vận hành CA đúng theo CPS.

- Kiểm qua quy trình xử lý sự cố đảm bảo giảm mức tối thiểu các nguy cơ gây hại cho CA thông qua việc sử dụng các báo cáo sự cố và thủ tục ứng cứu;

- Kiểm tra quy trình vận hành an toàn thông tin cho hệ thống CA

- Kiểm tra quy trình bảo trì các thiết bị lưu trữ không bị hư hại, trộm cắp và truy cập trái phép

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức:

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
13.16	Lao động:
	Kỹ sư 3/9	Công	3,55
	Vật liệu:
	Giấy A4	Ram	0,02
	Mực in laser	Hộp	0,004
	Sổ	Quyển	0,04
	Bút bi	Chiếc	0,18
	Thiết bị:
	Máy tính xách tay	Giờ	2,84
	Máy in laser	Giờ	0,199

13.17. Phát triển và bảo trì hệ thống

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra tài liệu chính sách phát triển và bảo trì hệ thống.

- Kiểm tra phương án sử dụng thêm các phương pháp xác thực đa nhân tố đối với các thiết bị mạng, máy chủ, ứng dụng quan trọng.

- Kiểm tra hệ thống giám sát cảnh báo thời gian thực trực tiếp đến người quản trị hệ thống.

- Kiểm tra nhật ký được lưu trữ độc lập với các hoạt động của các thiết bị mạng, máy chủ, ứng dụng.

- Kiểm tra cơ chế mã hóa thông tin xác thực của người sử dụng trước khi gửi đến ứng dụng qua môi trường mạng.

- Kiểm tra cơ chế, xác thực thông tin, nguồn gửi khi trao đổi thông tin trong quá trình quản trị ứng dụng (không phải là thông tin, dữ liệu công khai) qua môi trường mạng.

- Kiểm tra đảm bảo việc duy trì và phát triển các hoạt động của CA được ghi lại, kiểm tra, phân quyền.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ SỐ	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	ĐỊNH MỨC
13.17	Lao động: Kỹ sư 3/9	Công	3,9
	Vật liệu:
	Giấy A4	Ram	0,26
	Mực in laser	Hộp	0,052
	Sổ	Quyển	0,04
	Bút bi	Chiếc	0,2
	Thiết bị: Máy tính xách tay	Giờ	3,12
	Máy in laser	Giờ	0,218

13.18. Quản lý tính liên tục của hoạt động kinh doanh

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra quản lý các nghiệp vụ của CA để đảm bảo hoạt động liên tục kể cả khi có sự cố xảy ra.

- Kiểm tra CA có quy trình phát triển và kiểm thử các phương án đảm bảo CA hoạt động liên tục kể cả khi có sự cố xảy ra, bao gồm quá trình khôi phục thảm họa cho các thành phần quan trọng của hệ thống CA.

- Kiểm tra CA có quy trình đảm bảo lưu trữ các thông tin của CA, thuê bao an toàn.

- Kiểm tra CA có quy trình đảm bảo lưu trữ các bản sao của hệ thống, dữ liệu và thông tin cấu hình hệ thống.

- Kiểm tra phương án dự phòng: website, thiết bị.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
13.18	Lao động:
	Kỹ sư 3/9	Công	3,15
	Vật liệu:
	Giấy A4	Ram	0,02
	Mực in laser	Hộp	0,004
	Sổ	Quyển	0,15
	Bút bi	Chiếc	0,16
	Thiết bị:
	Máy tính xách tay	Giờ	2,52
	Máy in laser	Giờ	0,176

13.19. Giám sát và tuân thủ

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra quy trình giám sát và theo dõi tuân thủ.

- Kiểm tra các hoạt động luôn tuân theo các quy định pháp lý, quy định và hợp đồng có liên quan.

- Kiểm tra CA có quy định yêu cầu đảm bảo việc tuân thủ các chính sách và thủ tục an ninh của CA.

- Kiểm tra CA có quy trình đảm bảo tối đa quá trình kiểm toán hệ thống và giảm tối thiểu các ảnh hưởng từ việc kiểm toán này tới hoạt động của CA.

- Kiểm tra CA có quy định và cam kết phát hiện việc xây dựng và vận hành hệ thống CA trái phép.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
13.19	Lao động:
	Kỹ sư 3/9	Công	3,1
	Vật liệu:
	Giấy A4	Ram	0,03
	Mực in laser	Hộp	0,006
	Sổ	Quyển	0,03
	Bút bi	Chiếc	0,16
	Thiết bị:
	Máy tính xách tay	Giờ	2,68
	Máy in laser	Giờ	0,174

13.20. Nhật ký sự kiện

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra chính sách lưu nhật ký và đánh giá.

- Kiểm tra nhật ký ghi lại các sự kiện quan trọng trong các hoạt động của CA: các hoạt động quản lý khóa, quản lý chứng thư số và các hoạt động đăng nhập hệ thống.

- Kiểm tra quy trình lưu trữ toàn vẹn, bí mật nhật ký kiểm toán;

- Kiểm tra việc công bố nhật ký kiểm toán phải theo quy định;

- Kiểm tra nhật ký kiểm toán được xem xét định kỳ bởi người có thẩm quyền.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
13.20	Lao động:
	Kỹ sư 3/9	Công	3,2
	Vật liệu:
	Giấy A4	Ram	0,02
	Mực in laser	Hộp	0,004
	Sổ	Quyển	0,03
	Bút bi	Chiếc	0,16
	Thiết bị:
	Máy tính xách tay	Giờ	2,56
	Máy in laser	Giờ	0,179

Mục 4. KIỂM TRA, ĐÁNH GIÁ CÔNG TÁC KIỂM SOÁT VÒNG ĐỜI KHÓA CỦA CA

14.11. Tạo khóa CA

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra quy trình tạo khóa CA.

- Kiểm tra các điều kiện đáp ứng của khóa, thuật toán tạo khóa và sử dụng thiết bị tạo khóa của CA:

+ Kiểm tra khóa của CA được tạo trong một mô đun mã hóa đáp ứng các tiêu chuẩn ISO 15782-1/FIPS140-2 (hoặc tương đương).

+ Kiểm tra các thuật toán sử dụng được công bố trong trong CP/CPS của CA.

+ Kiểm tra có độ dài khóa phù hợp với các thuật toán và thời hạn hiệu lực của chứng thư CA được trình bày trong CP và / hoặc CPS. Độ dài khóa công khai trong chứng thư số mà CA xác nhận nhỏ hơn hoặc bằng với độ dài khóa bí mật của CA.

+ Kiểm tra kịch bản lễ tạo khóa của CA đảm bảo các nội dung về tính nguyên vẹn của các phần cứng mã hóa, phần mềm trước khi sử dụng.

+ Xác định, phân rõ vai trò và trách nhiệm của những người tham gia.

+ Đạt được các sự phê chuẩn cần thiết để thực hiện lễ tạo khóa.

+ Xác định các thông tin chi tiết về phần cứng mã hóa, phần mềm và các thiết bị khác bao gồm cả thông tin định danh ví dụ serial number...

+ Thực hiện các bước cụ thể trong quá trình tạo khóa.

+ Tất cả người tham gia ký vào kịch bản/ log và người chứng kiến chỉ rõ lễ tạo khóa có được thực hiện đúng như trong kịch bản hay không.

+ Ghi chú những sai lệch so với kịch bản, và các nội dung khác.

+ Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
14.11	Lao động:
	Kỹ sư 4/9	Công	4,1
	Vật liệu:
	Giấy A4	Ram	0,024
	Mực in laser	Hộp	0,0048
	Sổ	Quyển	0,04
	Bút bi	Chiếc	0,21
	Thiết bị:
	Máy tính xách tay	Giờ	3,28
	Máy in laser	Giờ	0,23

14.12. Lưu, sao lưu và phục hồi khóa CA

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá

- Kiểm tra khóa bí mật của CA phải được lưu trữ trong thiết bị mã hóa đáp ứng tiêu chuẩn FIPS PUB 140-2 (hoặc tương đương) và các quy định của pháp luật.

- Kiểm tra bản sao lưu của khóa bí mật phải được lưu trữ trong thiết bị có mức độ bảo mật đáp ứng các tiêu chuẩn tương đương thiết bị lưu khóa chính.

- Kiểm tra quy trình lưu trữ, sao lưu, phục hồi được thực thi và kiểm soát theo đúng nội dung đã công bố trong tài liệu CP/CPS.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
14.12	Lao động: Kỹ sư 4/9	Công	4,6
	Vật liệu:
	Giấy A4	Ram	0,018
	Mực in laser	Hộp	0,0036
	Sổ	Quyển	0,02
	Bút bi	Chiếc	0.08
	Thiết bị: Máy tính xách tay	Giờ	1,28
	Máy in laser	Giờ	0,09

14.13. Phân phối khóa công khai CA

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra khóa công khai của CA phải được công bố.

- Kiểm tra cách thức công bố khóa công khai của CA phải đảm bảo xác thực và toàn vẹn của khóa tới người sử dụng và các bên tin tưởng sử dụng dịch vụ.

- Kiểm tra quy trình phân phối khóa công khai phải được kiểm soát đảm bảo tuân thủ như đã công bố trong tài liệu CP/CPS.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
14.13	Lao động:
	Kỹ sư 3/9	Công	1,25
	Vật liệu:
	Giấy A4	Ram	0,024
	Mực in laser	Hộp	0,0048
	Sổ	Quyển	0,01
	Bút bi	Chiếc	0,06
	Thiết bị:
	Máy tính xách tay	Giờ	1,0
	Máy in laser	Giờ	0,07

14.14. Sử dụng khóa CA

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra CA có sử dụng đa kiểm soát để thao tác khóa private CA (MxN)

- Kiểm tra Quá trình kích hoạt để thao tác khóa bí mật cần được xác thực đa yếu tố (ví dụ: smart card, password, biametric và pass,...).

- Kiểm tra khóa ký CA được sử dụng để sinh chứng thư số và/hoặc phát hành thông tin trạng thái thu hồi, không được sử dụng cho mục đích nào khác.

- Kiểm tra CA chấm dứt sử dụng khóa khi hết hạn, lộ khóa hoặc có sự nghi ngờ về khả năng lộ khóa (khóa CA).

- Kiểm tra trong quy trình vận hành có nội dung hàng năm CA cần có xem xét độ dài khóa để xác định chu kỳ sử dụng khóa thích hợp với các khuyến nghị thực thi.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
14.14	Lao động:
	Kỹ sư 3/9	Công	2,68
	Vật liệu:
	Giấy A4	Ram	0,02
	Mực in laser	Hộp	0,004
	Sổ	Quyển	0,03
	Bút bi	Chiếc	0,13
	Thiết bị:
	Máy tính xách tay	Giờ	2,15
	Máy in laser	Giờ	0,15

14.15. Lưu trữ và hủy khóa CA

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra các nội dung liên quan tới lưu trữ khóa CA.

- Kiểm tra các nội dung liên quan tới hủy khóa CA.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
14.15	Lao động:
	Kỹ sư 3/9	Công	1,75
	Vật liệu:
	Giấy A4	Ram	0,016
	Mực in laser	Hộp	0,0032
	Sổ	Quyển	0,02
	Bút bi	Chiếc	0,09
	Thiết bị:
	Máy tính xách tay	Giờ	1,4
	Máy in laser	Giờ	0,098

14.16. Lộ khóa CA

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra quy trình xử lý khi CA bị lộ khóa.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
14.16	Lao động:
	Kỹ sư 4/9	Công	3,07
	Vật liệu:
	Giấy A4	Ram	0,01
	Mực in laser	Hộp	0,0002
	Sổ	Quyển	0,03
	Bút bi	Chiếc	0,15
	Thiết bị:
	Máy tính xách tay	Giờ	2,45
	Máy in laser	Giờ	0,0172

14.17. Quản lý vòng đời thiết bị mật mã CA

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra quy trình lưu trữ, quản lý thiết bị mật mã CA đảm bảo an toàn, bí mật.

- Kiểm tra quy trình sử dụng thiết bị mật mã CA phải có sự tham gia, giám sát của từ 02 cá nhân có trách nhiệm.

- Kiểm tra CA có tiến hành kiểm nghiệm thiết bị trước khi đưa vào sử dụng.

- Kiểm tra thiết bị mật mã CA được sử dụng đúng chức năng.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
14.17	Lao động:
	Kỹ sư 3/9	Công	2,37
	Vật liệu:
	Giấy A4	Ram	0,018
	Mực in laser	Hộp	0,036
	Sổ	Quyển	0,02
	Bút bi	Chiếc	0,12
	Thiết bị:
	Máy tính xách tay	Giờ	1,89
	Máy in laser	Giờ	0,133

14.18. Ủy thác khóa CA (nếu có)

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra chính sách ủy thác khóa của CA trong quy chế chứng thực.

- Kiểm tra thiết bị lưu trữ khóa của bên được ủy thác đảm bảo đúng quy định của pháp.

- Kiểm tra quy trình truy cập, kiểm soát khóa được ủy thác tại bên được ủy thác.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
14.18	Lao động:
	Kỹ sư 3/9	Công	1,3
	Vật liệu:
	Giấy A4	Ram	0,016
	Mực in laser	Hộp	0,0032
	Sổ	Quyển	0,01
	Bút bi	Chiếc	0,07
	Thiết bị:
	Máy tính xách tay	Giờ	1,04
	Máy in laser	Giờ	0,073

Mục 5. KIỂM TRA, ĐÁNH GIÁ HOẠT ĐỘNG KIỂM SOÁT VÒNG ĐỜI KHÓA THUÊ BAO

15.11. Tạo và phân phối khóa của thuê bao (nếu hỗ trợ)

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra việc tạo cặp khóa của thuê bao phải căn cứ theo yêu cầu bằng văn bản của tổ chức, cá nhân xin cấp chứng thư số.

- Kiểm tra đảm bảo bí mật toàn bộ quá trình tạo cặp khóa.

- Kiểm tra các điều kiện đáp ứng của khóa, thuật toán tạo khóa và sử dụng thiết bị tạo khóa của CA:

+ Kiểm tra khóa của CA được tạo trong một mô đun mã hóa đáp ứng các tiêu chuẩn ISO 15782-1/FIPS140-2 (hoặc tương đương).

+ Kiểm tra các thuật toán sử dụng được công bố trong trong CP/CPS của CA.

+ Kiểm tra có độ dài khóa phù hợp với các thuật toán và thời hạn hiệu lực của chứng thư CA được trình bày trong CP và / hoặc CPS. Độ dài khóa công khai trong chứng thư số mà CA xác nhận nhỏ hơn hoặc bằng với độ dài khóa bí mật của CA.

+ Đảm bảo tạo cặp khóa chỉ cho phép mỗi cặp khóa được tạo ra ngẫu nhiên và đúng một lần duy nhất.

+ Có tính năng đảm bảo khóa bí mật không bị phát hiện khi có khóa công khai tương ứng.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
15.11	Lao động:
	Kỹ sư 4/9	Công	2,07
	Vật liệu:
	Giấy A4	Ram	0,02
	Mực in laser	Hộp	0,004
	Sổ	Quyển	0,02
	Bút bi	Chiếc	0.1
	Thiết bị:
	Máy tính xách tay	Giờ	1,65
	Máy in laser	Giờ	0,116

15.12. Lưu trữ và phục hồi khóa thuê bao (nếu hỗ trợ)

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra CA chỉ được lưu bản sao của khóa bí mật khi có yêu cầu bằng văn bản của tổ chức, cá nhân xin cấp chứng thư số.

- Kiểm tra quy trình, thuật toán, độ dài khóa và thiết bị sử dụng lưu khóa phải đáp ứng các tiêu chuẩn, điều kiện theo quy định của pháp luật và quy chế chứng thực của CA.

- Kiểm tra CA thực hiện các biện pháp kiểm soát đảm bảo giữ bí mật khóa bí mật của thuê bao trong trường hợp thuê bao ủy quyền.

- Kiểm tra CA quy định các biện pháp kiểm soát đảm bảo lưu trữ khóa an toàn:

+ Quy định không sao chép, tiết lộ hoặc cung cấp khóa bí mật của thuê bao trái pháp luật.

+ Lưu trữ bí mật thông tin về thuê bao và khóa bí mật của thuê bao trong suốt thời gian tạm dừng chứng thư số.

+ Quy trình lưu trữ, sao lưu, phục hồi khóa chỉ được thực hiện bởi người có trách nhiệm.

+ Khóa phải được hủy hoàn toàn khi hết thời hạn lưu trữ khóa theo quy định.

+ Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
15.12	Lao động:
	Kỹ sư 3/9	Công	3,13
	Vật liệu:
	Giấy A4	Ram	0,02
	Mực in laser	Hộp	0,004
	Sổ	Quyển	0,03
	Bút bi	Chiếc	0,16
	Thiết bị:
	Máy tính xách tay	Giờ	2,51
	Máy in laser	Giờ	0,175

15.13. Quản lý vòng đời thẻ chip tích hợp (nếu hỗ trợ)

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra CA thực hiện các kiểm soát đảm bảo an toàn trong quá trình mua sắm, chuẩn bị, và sử dụng thẻ nhớ tích hợp.

- Kiểm tra CA có cơ chế kiểm soát khi kích hoạt thẻ, lưu dữ liệu vào thẻ một cách an toàn và bảo mật.

- Kiểm tra CA phải đảm bảo lưu trữ và phân phối thẻ tới thuê bao một cách an toàn, bảo mật.

- Kiểm tra CA có cơ chế kiểm soát đảm bảo an toàn khi tiến hành thay thế thẻ.

- Kiểm tra CA phải đảm bảo thu hồi thẻ khi hết vòng đời sử dụng thẻ.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
15.13	Lao động:
	Kỹ sư 3/9	Công	2,33
	Vật liệu:
	Giấy A4	Ram	0,02
	Mực in laser	Hộp	0,004
	Sổ	Quyển	0,02
	Bút bi	Chiếc	0,12
	Thiết bị:
	Máy tính xách tay	Giờ	1,87
	Máy in laser	Giờ	0,131

15.14. Những yêu cầu với quản lý khóa thuê bao

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra CA phải công khai chính sách quản lý khóa thuê bao tới các bên liên quan trong tài liệu Chính sách chứng thư hoặc các tài liệu công khai khác.

- Kiểm tra chính sách quản lý khóa thuê bao phải đề cập tới các quy trình và kiểm soát trong suốt vòng đời khóa thuê bao gồm sinh khóa, lưu khóa, chuyển giao khóa, sử dụng khóa và hủy khóa.

- Kiểm tra CA phải công khai các cam kết về trách nhiệm khi xảy ra các sự cố về quản lý khóa thuê bao.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
15.14	Lao động: Kỹ sư 3/9	Công	2,75
	Vật liệu:
	Giấy A4	Ram	0,02
	Mực in laser	Hộp	0,004
	Sổ	Quyển	0,03
	Bút bi	Chiếc	0,14
	Thiết bị: Máy tính xách tay	Giờ	2,2
	Máy in laser	Giờ	0,154

Mục 6. KIỂM TRA, ĐÁNH GIÁ HOẠT ĐỘNG KIỂM SOÁT VÒNG ĐỜI CHỨNG THƯ SỐ

16.11. Đăng ký thuê bao

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra CA phải có chính sách và công bố quy trình xử lý cấp chứng thư số, các kiểm soát đảm bảo thông tin cá nhân, tổ chức đăng ký được kiểm tra, xác minh một cách tin cậy.

- Kiểm tra CA phải hướng dẫn bằng văn bản cho cá nhân, tổ chức xin cấp chứng thư số những thông tin cơ bản:

+ Phạm vi, giới hạn sử dụng, mức độ bảo mật, phí, lệ phí cho việc cấp và sử dụng của loại chứng thư số xin cấp và những thông tin khác có khả năng ảnh hưởng đến quyền lợi của cá nhân, tổ chức xin cấp chứng thư số.

+ Những yêu cầu để đảm bảo sự an toàn trong lưu trữ và sử dụng khóa bí mật.

+ Và các thông tin khác theo quy định của pháp luật, theo chính sách của CA.

- Kiểm tra CA có hướng dẫn về hồ sơ, thủ tục xin cấp chứng thư số với từng đối tượng là cá nhân hay tổ chức.

- Kiểm tra CA phải thực hiện mã hóa và kiểm soát truy cập sử dụng để đảm bảo tính bảo mật và tính toàn vẹn của dữ liệu đăng ký trong đường truyền và lưu trữ.

- Kiểm tra CA phải lưu trữ thông tin liên quan tới tổ chức, cá nhân xin cấp chứng thư số.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
16.11	Lao động:
	Kỹ sư 2/9	Công	3,0
	Vật liệu:
	Giấy A4	Ram	0,026
	Mực in laser	Hộp	0,0052
	Sổ	Quyển	0,03
	Bút bi	Chiếc	0,15
	Thiết bị:
	Máy tính xách tay	Giờ	2,4
	Máy in laser	Giờ	0,168

16.12. Gia hạn chứng thư số (nếu có)

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra CA phải có chính sách và công bố quy trình, thủ tục gia hạn chứng thư số.

- Kiểm tra CA có hướng dẫn về hồ sơ, thủ tục xin gia hạn chứng thư số với từng đối tượng là cá nhân hay tổ chức.

- Kiểm tra CA thực hiện các kiểm soát nhằm đảm bảo quy trình thực hiện gia hạn chứng thư số an toàn, tuân thủ các quy chuẩn kỹ thuật, tiêu chuẩn bắt buộc và phù hợp với quy chế cung cấp dịch vụ đã công bố.

- Kiểm tra CA đảm bảo chứng thư số được gia hạn không thay đổi cặp khóa và các thông tin thuộc tính khác; không gia hạn chứng thư số đã được thu hồi, đã hết hạn hoặc đã bị ngưng sử dụng.

- Kiểm tra CA thực hiện soát xét đảm bảo chứng thư số được gia hạn có đầy đủ thông tin theo quy định.

- Kiểm tra CA phải công bố chứng thư số được gia hạn trên trang tin điện tử.

- Kiểm tra CA thực hiện nghĩa vụ lưu trữ thông tin thuê bao một cách bí mật, an toàn và chỉ sử dụng thông tin này vào mục đích theo quy định của pháp luật.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
16.12	Lao động:
	Kỹ sư 2/9	Công	3,67
	Vật liệu:
	Giấy A4	Ram	0,018
	Mực in laser	Hộp	0,0036
	Sổ	Quyển	0,04
	Bút bi	Chiếc	0,18
	Thiết bị:
	Máy tính xách tay	Giờ	2,93
	Máy in laser	Giờ	0,205

16.13. Cấp mới khóa chứng thư số

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra CA phải có chính sách và công bố quy trình, thủ tục về cấp mới khóa chứng thư số.

- Kiểm tra CA có hướng dẫn về hồ sơ, thủ tục xin cấp mới khóa chứng thư số với từng đối tượng là cá nhân hay tổ chức.

- Kiểm tra CA thực hiện các kiểm soát nhằm đảm bảo quy trình cấp khóa chứng thư số an toàn, tuân thủ các quy chuẩn kỹ thuật, tiêu chuẩn bắt buộc và phù hợp với quy chế cung cấp dịch vụ đã công bố.

- Kiểm tra CA đảm bảo chứng thư số được cấp khóa mới giữ nguyên thông tin thuộc tính như chứng thư số chứa khóa cũ.

- Kiểm tra CA thực hiện soát xét đảm bảo chứng thư số được gia hạn có đầy đủ thông tin theo quy định.

- Kiểm tra CA phải công bố chứng thư số được gia hạn trên trang tin điện tử.

- Kiểm tra CA thực hiện nghĩa vụ lưu trữ thông tin thuê bao một cách bí mật, an toàn và chỉ sử dụng thông tin này vào mục đích theo quy định của pháp luật.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
16.13	Lao động:
	Kỹ sư 2/9	Công	4,33
	Vật liệu:
	Giấy A4	Ram	0,018
	Mực in laser	Hộp	0,036
	Sổ	Quyển	0,04
	Bút bi	Chiếc	0,22
	Thiết bị:
	Máy tính xách tay	Giờ	3,47
	Máy in laser	Giờ	0,243

16.14. Cấp chứng thư số

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra CA phải có chính sách và công bố quy trình, thủ tục về cấp chứng thư số.

- Kiểm tra CA phải hướng dẫn bằng văn bản về các thông tin liên quan tới dịch vụ cho cá nhân, tổ chức xin cấp chứng thư số trước khi ký hợp đồng cấp chứng thư số.

- Kiểm tra CA phải xây dựng hợp đồng mẫu dùng cho hoạt động cấp chứng thư số.

- Kiểm tra CA thực hiện các kiểm soát nhằm đảm bảo quy trình cấp chứng thư số an toàn, tuân thủ các quy chuẩn kỹ thuật, tiêu chuẩn bắt buộc và phù hợp với quy chế cung cấp dịch vụ đã công bố.

- Kiểm tra CA thực hiện quy trình kiểm soát đảm bảo khóa công khai trên chứng thư số sẽ được cấp là duy nhất và có cùng cặp khóa với khóa bí mật của tổ chức, cá nhân xin cấp chứng thư số.

- Kiểm tra CA thực hiện soát xét đảm bảo chứng thư số được gia hạn có đầy đủ thông tin theo quy định.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
16.14	Lao động:
	Kỹ sư 2/9	Công	4,0
	Vật liệu:
	Giấy A4	Ram	0,02
	Mực in laser	Hộp	0,004
	Sổ	Quyển	0,04
	Bút bi	Chiếc	0,2
	Thiết bị:
	Máy tính xách tay	Giờ	3,2
	Máy in laser	Giờ	0,224

16.15. Công bố chứng thư số

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra CA phải công khai chính sách và quy trình thực hiện công bố chứng thư số.

- Kiểm tra CA phải duy trì các kiểm soát nhằm đảm bảo chỉ được công bố chứng thư số đã cấp cho thuê bao trên CSDL về chứng thư số sau khi có xác nhận của thuê bao về tính chính xác của thông tin trên chứng thư số đó:

+ Thời hạn để công bố chậm nhất là 24h sau khi có xác nhận của thuê bao.

+ Trừ trường hợp có thỏa thuận khác.

- Kiểm tra CA phải công khai chứng thư số của thuê bao và đảm bảo khả năng truy cập 24 giờ trong ngày và 7 ngày trong tuần.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
16.15	Lao động: Kỹ sư 2/9	Công	1,58
	Vật liệu:
	Giấy A4	Ram	0,02
	Mực in laser	Hộp	0,004
	Sổ	Quyển	0,02
	Bút bi	Chiếc	0,08
	Thiết bị: Máy tính xách tay	Giờ	1,27
	Máy in laser	Giờ	0,089

16.16. Thu hồi chứng thư số

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra CA phải có chính sách và công bố quy trình, thủ tục về thu hồi chứng thư số:

+ Nghiệp vụ thu hồi chứng thư số chỉ được áp dụng khi yêu cầu thu hồi được xác thực và xác nhận từ chính thuê bao.

+ Khi có yêu cầu từ cơ quan nhà nước có thẩm quyền hoặc theo quy định khác của pháp luật.

+ Thời gian thực hiện thu hồi.

+ Chu kỳ cập nhật danh sách chứng thư số bị thu hồi.

- Kiểm tra CA phải đảm bảo kênh thông tin tiếp nhận yêu cầu thu hồi chứng thư số hoạt động 24h trong ngày và 7 ngày trong tuần.

- Kiểm tra CA phải lưu trữ lại toàn bộ thông tin liên quan tới hoạt động thu hồi chứng thư số và các chứng thư số bị thu hồi trong thời gian ít nhất 05 năm, kể từ khi chứng thư số bị thu hồi.

- Kiểm tra CA có biện pháp đảm bảo giữ bí mật khóa bí mật của thuê bao trong trường hợp thuê bao ủy quyền và lưu trữ các thông tin liên quan đến chứng thư số của thuê bao trong thời hạn ít nhất là 05 năm, kể từ khi chứng thư số bị thu hồi.

- Kiểm tra CA cập nhật danh sách thu hồi chứng thư số (CRL) và trạng thái chứng thư khác theo chu kỳ thời gian quy định trong quy chế cung cấp dịch vụ đã công bố (CPS) và có định dạng phù hợp theo các tiêu chuẩn, quy chuẩn kỹ thuật đã quy định.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
16.16	Lao động: KS2	Công	3,25
	Vật liệu: Giấy A4	Ram	0,018
	Mực in laser	Hộp	0,0036
	Sổ	Quyển	0,03
	Bút bi	Chiếc	0,16
	Thiết bị: Máy tính xách tay	Giờ	2,6
	Máy in laser	Giờ	0,182

16.17. Tạm dừng và khôi phục chứng thư số nếu có

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra CA phải có chính sách và công bố quy trình, thủ tục về hoạt động tạm dừng và khôi phục chứng thư số.

- Kiểm tra CA phải đảm bảo kênh thông tin tiếp nhận yêu cầu tạm dừng chứng thư số hoạt động 24h trong ngày và 7 ngày trong tuần.

- Kiểm tra CA phải lưu trữ toàn bộ thông tin liên quan tới hoạt động tạm dừng chứng thư số trong thời gian ít nhấn 05 năm, kể từ khi chứng thư số bị tạm dừng.

- Kiểm tra CA trong suốt thời gian tạm dừng chứng thư số, CA phải thực hiện lưu trữ bí mật những thông tin về nhân thân và khóa bí mật của thuê bao theo quy định.

- Kiểm tra CA phải thực hiện thông báo tới thuê bao về việc tạm dừng, thời gian bắt đầu và kết thúc việc tạm dừng khi có căn cứ tạm dừng chứng thư số của thuê bao đó.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
16.17	Lao động: Kỹ sư 2/9	Công	3,33
	Vật liệu:
	Giấy A4	Ram	0,016
	Mực in laser	Hộp	0,0032
	Sổ	Quyển	0,03
	Bút bi	Chiếc	0,17
	Thiết bị: Máy tính xách tay	Giờ	2,67
	Máy in laser	Giờ	0,187

16.18. Kiểm tra trạng thái chứng thư số

a) Thành phần công việc:

- Thu thập thông tin, tài liệu phục vụ kiểm tra, đánh giá.

- Kiểm tra CA phải có chính sách và công bố quy trình sử dụng dịch vụ kiểm tra trạng thái chứng thư số cho các bên liên quan theo quy định của pháp luật và quy chế chung cấp dịch vụ đã cam kết (CPS).

- Kiểm tra CA phải thực hiện các kiểm soát nhằm đảm bảo cập nhật định kỳ, tính sẵn sàng, độ chính xác của dịch vụ theo quy chế cung cấp dịch vụ đã cam kết:

+ CA ký số lên CRL để người dùng có thể xác nhận tính toàn vẹn của CRL và thời điểm phát hành.

+ CA ban hành CRL đều đặn, như quy định trong CPS, thậm chí nếu không có thay đổi đã xảy ra kể từ khi phát hành cuối cùng.

+ CRL cũ được giữ lại trong khoảng thời gian thích hợp trong thời gian quy định trong CPS.

- Kiểm tra CA cung cấp danh sách thu hồi chứng thư số (CRL) và phương thức kiểm tra trạng thái chứng thư khác có định dạng phù hợp theo các tiêu chuẩn, quy chuẩn kỹ thuật đã quy định.

- Kiểm tra CA khi cung cấp dịch vụ sử dụng giao thức OCSP kiểm tra tính hợp lệ của chứng thư đảm bảo các yêu cầu:

+ Định dạng thông điệp chuẩn xác.

+ Trạng thái chứng thư số được trả lời khi có yêu cầu.

+ Trạng thái trả lời tình trạng chứng thư có chứa các thông tin cần thiết (Số seri, OID, vv) theo quy định của CP.

+ Tất cả các thông điệp trả lời được ký số và bao gồm tất cả các dữ liệu cần thiết theo quy định của CP.

- Xây dựng báo cáo kết quả kiểm tra, đánh giá.

b) Định mức

Đơn vị tính: 01 CA

MÃ HIỆU	THÀNH PHẦN HAO PHÍ	ĐƠN VỊ	TRỊ SỐ ĐỊNH MỨC
16.18	Lao động:
	Kỹ sư 2/9	Công	2,08
	Vật liệu:
	Giấy A4	Ram	0,024
	Mực in laser	Hộp	0,0048
	Số	Quyển	0,02
	Bút bi	Chiếc
	Thiết bị:
	Máy tính xách tay	Giờ	1,67
	Máy in laser	Giờ	0,117