Bộ Khoa học và Công nghệ có Thông tư 12/2025/TT-BKHCN. Theo đó hướng dẫn kỹ thuật Hệ thống tiếp nhận thông tin của cơ quan nhà nước từ 01/01/2026.

Hướng dẫn kỹ thuật Hệ thống tiếp nhận thông tin của cơ quan nhà nước từ 01/01/2026 (Hình từ Internet)

Tại Thông tư 12/2025/TT-BKHCN quy định về yêu cầu kỹ thuật phục vụ kết nối Hệ thống thông tin phục vụ giao dịch điện tử của cơ quan nhà nước như sau:

1. Yêu cầu chung

1.1. Hệ thống phải đảm bảo khả năng mở rộng: Khi tích hợp thêm các hệ thống hoặc cơ quan mới, hệ thống phải duy trì được hiệu suất và khả năng xử lý dữ liệu ổn định, không gây ảnh hưởng đến các giao dịch đang hoạt động hoặc làm tăng đáng kể thời gian phản hồi.

1.2. Hỗ trợ đa ngôn ngữ: Bảo đảm hệ thống có thể vận hành ở nhiều địa phương hoặc trong các tổ chức có đặc thù riêng về ngôn ngữ, hỗ trợ sự đa dạng của các đơn vị gửi dữ liệu.

1.3. Hoạt động liên tục 24/7: Hệ thống phải bảo đảm luôn sẵn sàng, với thời gian gián đoạn tối đa không vượt quá 1% tổng thời gian trong năm, bao gồm cả thời gian bảo trì.

1.4. Khả năng phục hồi sau thảm họa (Disaster Recovery): Hệ thống phải xây dựng và duy trì phương án sao lưu, phục hồi dữ liệu, đảm bảo vận hành liên tục khi xảy ra sự cố lớn hoặc thiên tai. Khuyến khích hệ thống lớn sử dụng Cloud hoặc DR site; các hệ thống nhỏ, địa phương có thể lựa chọn giải pháp phù hợp như thuê ngoài hoặc sử dụng dịch vụ cloud trong nước. Kiểm tra, diễn tập phục hồi dữ liệu định kỳ tối thiểu 1 lần/năm đối với hệ thống lớn; hệ thống nhỏ tổ chức kiểm tra phù hợp điều kiện thực tế, đảm bảo khả năng phục hồi dữ liệu.

1.5. Kiểm soát chất lượng và hợp nhất dữ liệu: Hệ thống phải từng bước xây dựng chức năng kiểm tra, đối chiếu và hợp nhất dữ liệu từ nhiều nguồn khác nhau để hạn chế trùng lặp, sai sót. Đối với hệ thống mới hoặc dữ liệu đã chuẩn hóa, thực hiện tự động hóa kiểm soát và hợp nhất. Đối với hệ thống cũ, cho phép kết hợp giữa kiểm tra tự động, kiểm tra thủ công và triển khai từng phần theo lộ trình, phù hợp điều kiện thực tế.

1.6. Khả năng tương tác và tuân thủ tiêu chuẩn mở (Interoperability and Open Standards Compliance): Hệ thống phải được thiết kế để dễ dàng tương tác với các hệ thống khác thông qua việc tuân thủ các tiêu chuẩn mở được công nhận rộng rãi về định dạng dữ liệu (ví dụ: JSON, XML, Excel, CSV, Parquet,...), giao thức truyền thông, và API, đồng thời tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật quốc gia (TCVN, QCVN) về dữ liệu và an toàn thông tin có liên quan.

1.7. Quản trị dữ liệu và tuân thủ: Hệ thống hỗ trợ thực thi chính sách quản trị dữ liệu, cho phép theo dõi dòng đời, quản lý phiên bản dữ liệu, đồng thời đảm bảo tuân thủ các quy định pháp lý liên quan, nhất là về bảo vệ dữ liệu cá nhân. Đối với hệ thống mới hoặc hệ thống được nâng cấp, yêu cầu triển khai đầy đủ các chức năng quản trị dữ liệu, quản lý phiên bản và dòng đời dữ liệu. Đối với hệ thống cũ, có thể thực hiện theo lộ trình phù hợp, ưu tiên trước việc đảm bảo tuân thủ các quy định về bảo vệ dữ liệu cá nhân, đồng thời từng bước bổ sung chức năng theo dõi, lưu vết, quản lý phiên bản dữ liệu khi nâng cấp hệ thống hoặc thay đổi công nghệ.

1.8. Khả năng kiểm toán (Auditability): Tất cả các truy cập, thay đổi dữ liệu, thay đổi cấu hình và các hành động quản trị quan trọng phải được ghi nhật ký chi tiết, an toàn, không thể sửa đổi (immutable logs) để phục vụ cho việc kiểm toán, điều tra sự cố và đảm bảo trách nhiệm giải trình. Nhật ký vận hành, nhật ký bảo mật cần được lưu trữ tối thiểu 1 năm (hoặc theo quy định của pháp luật).

1.9. Khả năng sử dụng và tiếp cận (Usability and Accessibility): Nếu hệ thống có giao diện người dùng, giao diện này phải trực quan, dễ sử dụng và tuân thủ các tiêu chuẩn về khả năng tiếp cận để đảm bảo người dùng khuyết tật cũng có thể sử dụng được.

1.10. Đánh giá, kiểm thử và đảm bảo an toàn: Hệ thống phải thực hiện kiểm thử xâm nhập (Penetration Testing), đánh giá bảo mật độc lập định kỳ theo quy định pháp luật về an toàn thông tin và an ninh mạng.

2. Giao tiếp qua API có xác thực

2.1. Hỗ trợ chuẩn RESTful và SOAP: Đảm bảo hệ thống dễ dàng, thuận tiện khi kết nối, chia sẻ dữ liệu với các hệ thống khác.

2.2. Quản lý phiên bản API (API Versioning): Mỗi API cần hỗ trợ quản lý phiên bản (versioning), đảm bảo khả năng duy trì hoạt động, không gián đoạn dịch vụ khi cập nhật, mở rộng hoặc nâng cấp hệ thống. Đối với hệ thống mới hoặc được nâng cấp, bắt buộc áp dụng quản lý phiên bản API. Đối với hệ thống cũ chưa hỗ trợ versioning, có thể áp dụng giải pháp quản lý phiên bản từng bước, ưu tiên duy trì tính ổn định hoạt động hiện tại, đồng thời xây dựng lộ trình nâng cấp hoặc bổ sung versioning khi thực hiện bảo trì, mở rộng tích hợp mới.

2.3. Cơ chế kiểm soát lưu lượng (rate-limiting): Hạn chế số lượng yêu cầu API trong một khoảng thời gian nhằm bảo vệ hệ thống khỏi tình trạng quá tải do các cuộc tấn công hoặc lưu lượng không hợp lệ. Cấu hình ngưỡng kiểm soát linh hoạt theo từng nghiệp vụ. Hệ thống mới cần triển khai đầy đủ cơ chế rate-limiting. Đối với hệ thống cũ, khuyến khích từng bước bổ sung hoặc cấu hình kiểm soát lưu lượng cơ bản phù hợp điều kiện kỹ thuật, ưu tiên các API có nguy cơ cao hoặc tần suất truy cập lớn.

2.4. Bảo vệ chống tấn công injection: Các API phải được hỗ trợ cấu hình để lọc và kiểm tra các tham số đầu vào, ngăn chặn các mã độc hoặc dữ liệu bất thường gây lỗi. Đối với hệ thống cũ, trong trường hợp chưa thể tự động kiểm tra toàn diện, yêu cầu tối thiểu phải rà soát thủ công và bổ sung kiểm tra các tham số đầu vào ở các API trọng yếu, đồng thời từng bước nâng cấp bổ sung tính năng bảo vệ khi có điều kiện bảo trì, phát triển mới.

2.5. Các cơ quan, tổ chức hoặc ứng dụng sử dụng API phải thực hiện xác thực thông qua các phương thức bảo mật hiện đại, bao gồm ít nhất một trong các hình thức như API Key, OAuth2.0 hoặc OpenID Connect. Mỗi tổ chức, ứng dụng được cấp thông tin xác thực riêng biệt. Cơ chế quản lý phải đảm bảo chỉ những ứng dụng, người dùng được cấp quyền mới có thể truy cập API, đồng thời hỗ trợ thu hồi, phân quyền và ghi nhật ký truy cập đầy đủ theo quy định.

2.6. Mã hóa dữ liệu API: Toàn bộ dữ liệu kết nối, chia sẻ phải được mã hóa bằng giao thức HTTPS và SSL/TLS hợp lệ để bảo vệ khỏi việc đánh cắp hoặc giả mạo.

2.7. Tài liệu hóa API (API Documentation): Cung cấp tài liệu API chi tiết, rõ ràng, dễ hiểu và cập nhật (ưu tiên sử dụng chuẩn OpenAPI/Swagger) cho các nhà phát triển tích hợp.

2.8. Sử dụng và Quản lý API qua Cổng API (API Gateway)

- Bắt buộc triển khai và sử dụng Cổng API (API Gateway) đối với các hệ thống thông tin phục vụ giao dịch điện tử được xác định là quy mô lớn hoặc quy mô rất lớn theo quy định của pháp luật về giao dịch điện tử của cơ quan nhà nước và hệ thống thông tin phục vụ giao dịch điện tử. Cổng API phải được sử dụng để quản lý tập trung toàn bộ các API, nhằm kiểm soát truy cập, phân phối, bảo vệ, ghi nhận nhật ký, giám sát hoạt động, phát hiện và ngăn chặn các hành vi bất thường, đồng thời nâng cao hiệu quả, tính linh hoạt và an toàn của hệ thống API.

- Khuyến khích việc áp dụng Cổng API (API Gateway) đối với các hệ thống thông tin không thuộc phạm vi quy định tại điểm a khoản này nhằm tăng cường khả năng quản lý, bảo mật, giám sát và hiệu quả hoạt động của các API.

3. Gửi dữ liệu tổng hợp theo định dạng tổng quát

3.1. Hệ thống phải hỗ trợ tối thiểu các định dạng dữ liệu trao đổi phổ biến như JSON, XML; đồng thời khuyến khích hỗ trợ các định dạng phục vụ xử lý dữ liệu lớn (Big Data) như CSV, Parquet.

3.2. Định nghĩa lược đồ dữ liệu và metadata: Các loại dữ liệu được trao đổi cần được định nghĩa và công bố rõ ràng lược đồ dữ liệu (ví dụ: XSD cho XML, JSON Schema cho JSON) đi kèm với bộ chỉ dẫn metadata, nhằm đảm bảo tính nhất quán, khả năng xác thực tự động, truy xuất nguồn gốc và chuẩn hóa dữ liệu giữa các hệ thống. Đối với hệ thống cũ, có thể áp dụng theo lộ trình chuyển đổi phù hợp: trước mắt đảm bảo tối thiểu định nghĩa rõ các trường dữ liệu chính, đồng thời khuyến khích hoàn thiện dần đầy đủ lược đồ và metadata theo mẫu dùng chung do cơ quan chủ quản ban hành hoặc hướng dẫn.

3.3. Trường dữ liệu an toàn thông tin: Bổ sung các thông tin liên quan đến trạng thái bảo mật và mức độ ưu tiên của dữ liệu để hệ thống xử lý đúng quy trình.

3.4. Kiểm tra, xác thực và chất lượng dữ liệu: Hệ thống phải tự động kiểm tra định dạng, loại dữ liệu, tuân thủ lược đồ dữ liệu và các yêu cầu nghiệp vụ khác trước khi tiếp nhận hoặc cho phép tải lên, đảm bảo chất lượng và giảm thiểu lỗi.

3.5. Hỗ trợ xuất/nhập dữ liệu linh hoạt: Hệ thống cho phép các tổ chức, người dùng dễ dàng trích xuất hoặc nhập dữ liệu theo các định dạng phổ biến (CSV, Excel, JSON, XML, DOCX) phục vụ công tác tổng hợp, báo cáo hoặc xử lý nghiệp vụ, góp phần giảm thiểu rủi ro khi thao tác thủ công.

4. Bảo đảm an toàn thông tin

4.1. Cảnh báo sớm: Tích hợp các giải pháp IDS/IPS giúp phát hiện các hành vi bất thường như đăng nhập trái phép, giới hạn truy cập dựa trên địa chỉ IP (cấu hình blacklist, whitelist, giới hạn địa chỉ IP nước ngoài).

4.2. Mã hóa dữ liệu lưu trữ: Dữ liệu lưu trữ tại hệ thống phải được mã hóa bằng các thuật toán mạnh (AES-256) để ngăn chặn truy cập trái phép ngay cả khi hệ thống bị xâm nhập.

4.3. Xác thực đa yếu tố (MFA): Áp dụng cho các tài khoản quản trị để giảm thiểu rủi ro từ các cuộc tấn công chiếm quyền truy cập.

4.4. Báo cáo và khắc phục lỗ hổng: Mỗi lỗ hổng bảo mật phát hiện được phải có báo cáo chi tiết và kế hoạch xử lý với thời gian cụ thể, đảm bảo hệ thống không bị đe dọa lâu dài.

4.5. Bảo mật giao thức kết nối: Sử dụng các giao thức bảo mật kết nối, thường xuyên cập nhật, nâng cấp các giao thức bảo mật không an toàn.

5. Giám sát và báo cáo

5.1. Chỉ số hiệu năng thời gian thực: Hệ thống phải cung cấp dashboard hiển thị các chỉ số quan trọng như thời gian phản hồi, tỷ lệ lỗi, số giao dịch trong ngày... để theo dõi trực tiếp. Đối với hệ thống quy mô nhỏ, có thể sử dụng các giải pháp dashboard cơ bản hoặc tích hợp vào hệ thống giám sát tập trung của cơ quan chủ quản cấp trên.

5.2. Tích hợp giám sát tập trung và quy trình cảnh báo: Dữ liệu giám sát, log hoạt động phải được lưu trữ tối thiểu 1 năm (hoặc theo quy định của pháp luật). Hệ thống nên tích hợp quy trình cảnh báo sự cố tự động, hỗ trợ gửi cảnh báo qua nhiều kênh phù hợp điều kiện thực tế (như email, ứng dụng, dashboard). Đối với hệ thống nhỏ, khuyến khích áp dụng hình thức cảnh báo phù hợp năng lực và nhu cầu; có thể kết nối chung vào hệ thống cảnh báo của đơn vị chủ quản hoặc thuê ngoài dịch vụ giám sát khi cần thiết.

5.3. Báo cáo định kỳ: Báo cáo phải phân tích chi tiết về hiệu suất của hệ thống trong kỳ, bao gồm số giao dịch thành công, thất bại và các nguyên nhân.

Trên đây là nội dung Hướng dẫn kỹ thuật Hệ thống tiếp nhận thông tin của cơ quan nhà nước theo Thông tư 12/2025/TT-BKHCN có hiệu lực từ 01/01/2026.