Wersja obowiązująca od 2024.11.01

§ 6. 1. Dyrektor Generalny Urzędu określa, w drodze zarządzenia, szczegółowe zasady i procedury dotyczące bezpieczeństwa informacji oraz zasady i procedury bezpieczeństwa informatycznego w Urzędzie.

2. Przepisy, o których mowa w ust. 1, obejmują:

1) zasady ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, realizowanej przez:

a) monitorowanie dostępu do informacji,

b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,

c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;

2) zasady zabezpieczania informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;

3) zasady postępowania z informacjami, zapewniające minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;

4) zasady postępowania z informacjami klasyfikowanymi do poszczególnych kategorii i zasady dokonywania zmian kategorii informacji, a także zasady ochrony, oznaczania, przetwarzania, przechowywania, przekazywania, udostępniania, niszczenia poszczególnych kategorii informacji, w zakresie w jakim kwestie te nie są uregulowane w przepisach prawa powszechnie obowiązującego;

5) zasady nadawania, zmiany i cofania uprawnień w zakresie przetwarzania informacji oraz dostępów do baz danych i systemów informatycznych;

6) [4] zasady korzystania za sprzętu komputerowego i systemów informatycznych, w tym zasady bezpieczeństwa w systemach teleinformatycznych, z wykorzystaniem Polskiej Normy PN-ISO/IEC 27001;

7) podstawowe zasady gwarantujące bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;

8) zasady zgłaszania incydentów naruszenia bezpieczeństwa informacji i podejmowania działań korygujących;

9) zasady inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji, obejmujące ich rodzaj i konfigurację, z uwzględnieniem ogólnych zasad inwentaryzacji majątku Urzędu;

10) [5] zasady przeprowadzania przez dyrektorów komórek organizacyjnych Urzędu okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji, w szczególności zasady dokonywania oceny takiego ryzyka, z wykorzystaniem Polskiej Normy PN-ISO/IEC 27005;

11) plan wdrożenia i egzekwowania Polityki Bezpieczeństwa Informacji;

12) inne zasady i procedury dotyczące bezpieczeństwa informacji, jeśli jest to niezbędne do sprawnego i prawidłowego działania Systemu Zarządzania Bezpieczeństwem Informacji w Urzędzie.

[4] § 6 ust. 2 pkt 6 w brzmieniu ustalonym przez § 1 pkt 2 lit. a) zarządzenia Prezesa Urzędu Ochrony Konkurencji i Konsumentów z dnia 29 października 2024 r. zmieniającego zarządzenie w sprawie Systemu Zarządzania Bezpieczeństwem Informacji w Urzędzie Ochrony Konkurencji i Konsumentów (Dz.Urz.UOKiK. poz. 11). Zmiana weszła w życie 1 listopada 2024 r.

[5] § 6 ust. 2 pkt 10 w brzmieniu ustalonym przez § 1 pkt 2 lit. b) zarządzenia Prezesa Urzędu Ochrony Konkurencji i Konsumentów z dnia 29 października 2024 r. zmieniającego zarządzenie w sprawie Systemu Zarządzania Bezpieczeństwem Informacji w Urzędzie Ochrony Konkurencji i Konsumentów (Dz.Urz.UOKiK. poz. 11). Zmiana weszła w życie 1 listopada 2024 r.

Wersja obowiązująca od 2024.11.01

§ 6. 1. Dyrektor Generalny Urzędu określa, w drodze zarządzenia, szczegółowe zasady i procedury dotyczące bezpieczeństwa informacji oraz zasady i procedury bezpieczeństwa informatycznego w Urzędzie.

2. Przepisy, o których mowa w ust. 1, obejmują:

1) zasady ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, realizowanej przez:

a) monitorowanie dostępu do informacji,

b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,

c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;

2) zasady zabezpieczania informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;

3) zasady postępowania z informacjami, zapewniające minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;

4) zasady postępowania z informacjami klasyfikowanymi do poszczególnych kategorii i zasady dokonywania zmian kategorii informacji, a także zasady ochrony, oznaczania, przetwarzania, przechowywania, przekazywania, udostępniania, niszczenia poszczególnych kategorii informacji, w zakresie w jakim kwestie te nie są uregulowane w przepisach prawa powszechnie obowiązującego;

5) zasady nadawania, zmiany i cofania uprawnień w zakresie przetwarzania informacji oraz dostępów do baz danych i systemów informatycznych;

6) [4] zasady korzystania za sprzętu komputerowego i systemów informatycznych, w tym zasady bezpieczeństwa w systemach teleinformatycznych, z wykorzystaniem Polskiej Normy PN-ISO/IEC 27001;

7) podstawowe zasady gwarantujące bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;

8) zasady zgłaszania incydentów naruszenia bezpieczeństwa informacji i podejmowania działań korygujących;

9) zasady inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji, obejmujące ich rodzaj i konfigurację, z uwzględnieniem ogólnych zasad inwentaryzacji majątku Urzędu;

10) [5] zasady przeprowadzania przez dyrektorów komórek organizacyjnych Urzędu okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji, w szczególności zasady dokonywania oceny takiego ryzyka, z wykorzystaniem Polskiej Normy PN-ISO/IEC 27005;

11) plan wdrożenia i egzekwowania Polityki Bezpieczeństwa Informacji;

12) inne zasady i procedury dotyczące bezpieczeństwa informacji, jeśli jest to niezbędne do sprawnego i prawidłowego działania Systemu Zarządzania Bezpieczeństwem Informacji w Urzędzie.

[4] § 6 ust. 2 pkt 6 w brzmieniu ustalonym przez § 1 pkt 2 lit. a) zarządzenia Prezesa Urzędu Ochrony Konkurencji i Konsumentów z dnia 29 października 2024 r. zmieniającego zarządzenie w sprawie Systemu Zarządzania Bezpieczeństwem Informacji w Urzędzie Ochrony Konkurencji i Konsumentów (Dz.Urz.UOKiK. poz. 11). Zmiana weszła w życie 1 listopada 2024 r.

[5] § 6 ust. 2 pkt 10 w brzmieniu ustalonym przez § 1 pkt 2 lit. b) zarządzenia Prezesa Urzędu Ochrony Konkurencji i Konsumentów z dnia 29 października 2024 r. zmieniającego zarządzenie w sprawie Systemu Zarządzania Bezpieczeństwem Informacji w Urzędzie Ochrony Konkurencji i Konsumentów (Dz.Urz.UOKiK. poz. 11). Zmiana weszła w życie 1 listopada 2024 r.

Wersja archiwalna obowiązująca od 2021.09.18 do 2024.10.31

§ 6. 1. Dyrektor Generalny Urzędu określa, w drodze zarządzenia, szczegółowe zasady i procedury dotyczące bezpieczeństwa informacji oraz zasady i procedury bezpieczeństwa informatycznego w Urzędzie.

2. Przepisy, o których mowa w ust. 1, obejmują:

1) zasady ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, realizowanej przez:

a) monitorowanie dostępu do informacji,

b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,

c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;

2) zasady zabezpieczania informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;

3) zasady postępowania z informacjami, zapewniające minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;

4) zasady postępowania z informacjami klasyfikowanymi do poszczególnych kategorii i zasady dokonywania zmian kategorii informacji, a także zasady ochrony, oznaczania, przetwarzania, przechowywania, przekazywania, udostępniania, niszczenia poszczególnych kategorii informacji, w zakresie w jakim kwestie te nie są uregulowane w przepisach prawa powszechnie obowiązującego;

5) zasady nadawania, zmiany i cofania uprawnień w zakresie przetwarzania informacji oraz dostępów do baz danych i systemów informatycznych;

6) zasady korzystania ze sprzętu komputerowego i systemów informatycznych, w tym zasady bezpieczeństwa w systemach teleinformatycznych, z uwzględnieniem Polskiej Normy PN-ISO/IEC 27001;

7) podstawowe zasady gwarantujące bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;

8) zasady zgłaszania incydentów naruszenia bezpieczeństwa informacji i podejmowania działań korygujących;

9) zasady inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji, obejmujące ich rodzaj i konfigurację, z uwzględnieniem ogólnych zasad inwentaryzacji majątku Urzędu;

10) zasady przeprowadzania przez dyrektorów komórek organizacyjnych Urzędu okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji, w szczególności zasady dokonywania oceny takiego ryzyka, z uwzględnieniem Polskiej Normy PN-ISO/IEC 27005;

11) plan wdrożenia i egzekwowania Polityki Bezpieczeństwa Informacji;

12) inne zasady i procedury dotyczące bezpieczeństwa informacji, jeśli jest to niezbędne do sprawnego i prawidłowego działania Systemu Zarządzania Bezpieczeństwem Informacji w Urzędzie.