Datganiad Polisi ar Ddiogelu Gwybodaeth

1. Rhagair

Mae gwybodaeth yn adnoddyn allweddol i Brifysgol Aberystwyth[1]. Byddai ein holl weithgarwch, i bob pwrpas, yn dod i ben hebddi. Gan fod gwybodaeth mor bwysig iddi, cydnabyddir bod rhaid i’r Brifysgol weithredu hyd eithaf ei gallu i ddiogelu ei hadnoddau gwybodaeth. Byddwn yn gwneud hynny mewn ffyrdd sy’n briodol a chost-effeithiol.

Bydd hyn yn ein helpu i gyflawni ein cyfrifoldebau a sicrhau bod gwasanaeth o ansawdd da yn dal i gael ei gynnig i’n staff, ein myfyrwyr a’n cleientiaid eraill. Bydd ein gallu i ddefnyddio a manteisio ar wybodaeth yn golygu ein bod yn gallu cadw a hybu ein henw da a sicrhau ein bod yn cyflawni ein nodau busnes a phroffesiynol strategol. Fe fydd yn sicrhau hefyd na fyddwn yn colli cyfleoedd ariannu drwy gael enw drwg o ran diogelwch.

2. Y Nod

Nod Polisi Diogelu Gwybodaeth PA yw amddiffyn PA rhag cael problemau diogelwch a allai amharu ar ein gwaith a’n bri proffesiynol.

Gall problemau diogelwch gynnwys materion cyfrinachedd (pobl anghywir yn cael gwybodaeth), uniondeb (gwybodaeth yn cael ei newid heb ganiatâd, yn fwriadol neu’n ddamweiniol) a hygyrchedd (gwybodaeth heb fod ar gael pan fo’i hangen). At ddibenion y datganiad polisi hwn defnyddir y diffiniad ehangaf posib o ‘ddiogelwch’ i gynnwys pob math ar ddigwyddiad a allai amharu ar ein gallu i ddefnyddio gwybodaeth yn effeithiol, gan gynnwys perfformiad, cysonder, dibynadwyedd, cywirdeb ac amseroldeb.

Mae’r ddogfen bolisi hon yn cwmpasu defnyddio gwybodaeth ar bapur a gwybodaeth a ddefnyddir drwy gofnodion electronig.

3. Yn Gyffredinol

Bydd PA:

1. yn cymryd pob cam rhesymol, priodol, ymarferol ac effeithiol i amddiffyn ei phrosesau busnes a’i hadnoddau gwybodaeth rhag cael eu defnyddio’n amhriodol;
2. yn defnyddio ISO17799, sef cod ymarfer ar gyfer rheoli diogelwch gwybodaeth, yn fframwaith i lywio ei gwaith rheoli diogelwch;
3. yn chwilio o hyd am ddulliau o wella’r ffordd y mae’n defnyddio camau diogelu i amddiffyn a hyrwyddo ei buddiannau busnes;
4. yn amddiffyn ac yn rheoli ei hadnoddau gwybodaeth mewn ffordd sy’n cyflawni ei chyfrifoldebau o ran contractau, deddfwriaeth, preifatrwydd a moeseg.

4. Cyfrifoldebau

Defnyddwyr Gwybodaeth PA [2]

1. Bydd yn gyfrifoldeb ar ddefnyddwyr i ddiogelu adnoddau, systemau a seilwaith gwybodaeth y Brifysgol. Rhaid gweithredu mewn ffordd gyfrifol a phroffesiynol bob amser, a rhaid bod yn ymwybodol o ddiogelwch, gan sicrhau eu bod yn ymwybodol o’r Polisi a’u bod yn cydymffurfio ag ef.
2. Rhaid i ddefnyddwyr ddiogelu adnoddau gwybodaeth partïon allanol, yn ôl gofynion contractiol, cyfreithiol, moesegol neu o ran parch at unigolion neu sefydliadau eraill.
3. Os bydd defnyddwyr am gael gafael ar wybodaeth drwy ddulliau electronig, rhaid cofrestru â’r Gwasanaethau Gwybodaeth a chytuno i gydymffurfio â rheoliadau Gwasanaethau Gwybodaeth PA a pholisi defnyddio derbyniol JANET.
4. Bydd defnyddwyr yn gyfrifol am nodi diffygion o ran arferion diogelwch presennol neu o ran gwelliannau y gellid eu gwneud. Os oes diffygion diogelwch o ran materion TGCh[3] dylid rhoi gwybod i Ddirprwy Gyfarwyddwr y Gwasanaethau Gwybodaeth; dylid rhoi gwybod am faterion eraill i benaethiaid adrannau.

PA

1. Bydd y Brifysgol yn parchu cysyniad rhyddid academaidd ac unigol, ond bydd hefyd yn disgwyl i’r Defnyddwyr Gwybodaeth sicrhau nad yw eu cydweithwyr na’r Brifysgol o dan anfantais nac yn cael eu cosbi drwy weithredoedd sy’n amhriodol o ran diogelu gwybodaeth.
2. Bydd yn rhoi cyfrifoldeb i’r Pwyllgor Gwybodaeth Rheoli[4] am ddatblygu a gweithredu’r Polisi Diogelu Gwybodaeth hwn drwy Is-Bwyllgor Diogelwch a fydd yn cyflwyno adroddiadau am faterion diogelu gwybodaeth, yn monitro’r cynnydd a wneir ac yn argymell camau priodol.
3. Bydd yn ymdrechu i sicrhau bod digon o adnoddau ar gael i wireddu amcanion y Polisi Diogelu Gwybodaeth.

5. Egwyddorion Arfer Da

1. Gan ddefnyddio technegau dadansoddi risg bydd PA yn nodi ei risgiau diogelwch a’r blaenoriaethau cymharol, ac yn ymateb iddynt yn brydlon a hyderus, gan roi mesurau diogelu ar waith sy’n briodol, yn effeithiol, yn ddiwylliannol dderbyniol ac yn ymarferol.
2. Er mwyn sicrhau bod gwybodaeth yn cael ei rhannu a’i defnyddio yn well, bydd gwybodaeth fewnol briodol ar gael i Ddefnyddwyr Gwybodaeth PA, gan gynnwys canllawiau cyffredinol i’r mesurau diogelu a ddefnyddir, lle bo hynny’n bosib.
3. Bydd Defnyddwyr Gwybodaeth PA yn atebol am eu gweithredoedd a bydd modd olrhain pob gweithred i unigolyn penodol.
4. Bydd pob gwybodaeth (gan gynnwys gwybodaeth partïon allanol) yn cael ei diogelu drwy fesurau diogelu a rheolau trin a thrafod gwybodaeth a fydd yn briodol i sensitifrwydd a phwysigrwydd y wybodaeth honno.
5. Yn gyffredinol, y sawl sy’n berchen ar wybodaeth fydd yn gyfrifol am ddweud i bwy y gellir rhoi’r wybodaeth honno. Ar adegau mae’n bosib y bydd deddfwriaeth gyfredol neu rwymedigaethau contractiol yn ei gwneud yn ofynnol datgelu’r wybodaeth i gyrff allanol awdurdodedig megis yr heddlu neu Dîm Ymateb i Argyfyngau Cyfrifiadurol JANET.
6. Os bydd unrhyw beth yn tarfu ar leoliadau neu wasanaethau PA neu os bydd digwyddiad diogelwch yn codi, bydd PA yn ceisio sicrhau y gall barhau â’i gweithgareddau â chyn lleied o drafferth, neu effaith andwyol arall, â phosib.
7. Rhaid rhoi gwybod yn ddiymdroi am ddigwyddiadau diogelwch gwirioneddol neu rai tybiedig i Dîm Ymateb i Argyfyngau Cyfrifiadurol y Gwasanaethau Gwybodaeth[5]. Y Tîm hwn fydd yn ymdrin â’r digwyddiad, ac yn trefnu bod y gwersi i’w dysgu o’r digwyddiad yn cael eu dadansoddi.
8. Bydd gweithdrefnau a safonau wedi’u cofnodi, yn ogystal ag addysg a hyfforddiant, yn ategu’r Polisi hwn.
9. Bydd yr Is-Bwyllgor Diogelwch yn monitro’n rheolaidd y ffordd y cydymffurfir â’r Polisi; bydd yr Is-Bwyllgor yn adolygu’r polisi hwn yn flynyddol i sicrhau ei fod yn gyfan, yn effeithiol ac yn hylaw; a bydd yn nodi ac yn cymeradwyo gwelliannau sydd yn yr arfaeth ar gyfer y deuddeng mis canlynol.
10. Y llinyn mesur o ran effeithiolrwydd y polisi fydd gallu PA i osgoi digwyddiadau diogelwch a sicrhau eu bod yn cael cyn lleied o effaith â phosib, ynghyd â phroses o gymharu ei gweithdrefnau diogelwch â rhai sefydliadau tebyg iddi.
11. Bydd y PGRh yn cymeradwyo fersiynau newydd o’r Polisi Diogelu Gwybodaeth. Bydd Defnyddwyr Gwybodaeth PA yn gyfrifol am nodi ffyrdd o wella’r Polisi Diogelu Gwybodaeth. Dylid anfon awgrymiadau ynghylch ffyrdd o wella’r Polisi at Ddirprwy Gyfarwyddwr y Gwasanaethau Gwybodaeth. Oni fydd angen gwneud newidiadau ar unwaith, bydd yr awgrymiadau’n cael eu trafod wrth adolygu’r Polisi’n flynyddol.

6. Ymwybyddiaeth o’r Polisi

Bydd copi o’r Polisi hwn ar gael i holl staff a myfyrwyr cyfredol PA, neu wrth iddynt ymuno â PA. Bydd gwahanol adrannau’r Polisi’n cael eu diweddaru yn ôl y gofyn a byddant ar gael ar wefan y Brifysgol. Disgwylir i Ddefnyddwyr Gwybodaeth PA ymgyfarwyddo â’r Polisi Diogelu Gwybodaeth a chydymffurfio ag ef bob amser. I gael gwybod mwy am unrhyw agwedd ar y Polisi neu i gael eglurhad arno, cysylltwch â Dirprwy Gyfarwyddwr y Gwasanaethau Gwybodaeth.

7. I bwy y mae’r Polisi’n berthnasol a gorfodi’r Polisi

Mae’r Polisi hwn yn berthnasol i Ddefnyddwyr Gwybodaeth PA a phawb sy’n defnyddio ei chyfleusterau a’i gwybodaeth. Bydd cydymffurfio â’r Polisi yn rhan o’r contract cyflogaeth, yn amod i gofrestru myfyrwyr ac yn rhan o’r broses o roi hawl i eraill ddefnyddio’r cyfleusterau.

Gallai methu â chydymffurfio â’r Polisi Diogelu Gwybodaeth amharu ar allu PA i gyflawni ei chenhadaeth a’i hamcanion diogelwch a gwneud drwg i fri proffesiynol y sefydliad. Fe allai arwain at gymryd camau disgyblu. Cadeirydd y PGRh fydd yn gyfrifol yn y pen draw am benderfyniadau’n ymwneud â gorfodi’r polisi hwn, a bydd yn defnyddio cosbau cyfreithiol neu gamau disgyblu staff a myfyrwyr fel y bo’n briodol.

--------------------------------------------------------------------------------

1. Cyfeirir ati fel “PA” o hyn ymlaen.
2. Yr holl staff, y myfyrwyr a phawb arall sydd wedi cael hawl i ddefnyddio’r adnoddau yn PA.
3. Technolegau Gwybodaeth a Chyfathrebu.
4. A elwir “PGRh” o hyn allan.
5. Gweler http://www.aber.ac.uk/cy/is/regulations/sirp/.