Polisi Diogelu Gwybodaeth: Cyfrifoldebau Staff

Mae Datganiad Polisi Diogelu Gwybodaeth PA yn diffinio amcanion y Brifysgol o ran ei hagwedd at ddiogelu gwybodaeth. Mae hyn yn ei dro yn gosod cyfrifoldebau ar bob un sy’n defnyddio’r gwasanaeth cyfrifiaduron, gan gynnwys aelodau unigol o staff, Penaethiaid Adran,[1], a’r rheini sy’n darparu gwasanaethau gweinydd adrannol. Mae’r ddogfen hon yn disgrifio cyfrifoldebau’r gwahanol grwpiau hyn yn fanylach.

Cyfrifoldebau staff

1. Rheolau a Chanllawiau
   Mae’r Brifysgol yn cyhoeddi Rheoliadau’r Gwasanaethau Gwybodaeth ynghyd â set o Ganllawiau cefnogol. Mae’r rhestr ddiweddaraf i’w gweld ar:
   
   http://www.aber.ac.uk/cy/is/regulations/
   
   Wrth gofrestru yn y lle cyntaf i ddefnyddio gwasanaethau cyfrifiadura PA mae’r holl aelodau o staff yn llofnodi ymrwymiad y byddant yn cadw at y Rheoliadau a’r Canllawiau hyn. Eu cyfrifoldeb hwy yw nodi unrhyw newidiadau i’r wybodaeth hon a gaiff ei hysbysebu yn yr e-bost staff wythnosol a hefyd ymgyfarwyddo â’r fersiynau diweddaraf o bryd i’w gilydd.
   
   
2. Ebost
   Mae gan y Brifysgol Bolisi E-bost y mae’n rhaid glynu wrtho wrth ddefnyddio e-bost. Mae’r Polisi i’w weld ar:
   
   http://www.aber.ac.uk/cy/infocompliance/policies/e-mail/
   
   
3. Diogelu yn erbyn meddalwedd maleisus
   

   a. Rhaid gosod meddalwedd canfod ac atgyweirio firysau ar bob cyfrifiadur staff a’i ddiweddaru’n rheolaidd yn unol â chyngor y Gwasanaethau Gwybodaeth.

   b. Dylai defnyddwyr sicrhau eu bod yn rhedeg fersiynau diweddaraf unrhyw gymhwysiad (er enghraifft Word neu QLx) a system weithredu’r cyfrifiadur (Microsoft Windows fel arfer) yn unol â chyngor y Gwasanaethau Gwybodaeth, a sucrhau fod unrhyw ddiweddariadau a ryddheir i wrthweithio gwendidau yn cael eu gosod mor fuan â phosibl.

   c. Dylai defnyddwyr osod meddalwedd i ganfod ac atgyweirio ymelwa maleisus yn unol â chyngor y Gwasanaethau Gwybodaeth.

   d. Lle bo’n bosibl, dylid gosod llen dân meddalwedd (sy’n gwirio nad yw gwybodaeth sy’n cyrraedd y cyfrifiadur o’r rhwydwaith yn debygol o beryglu gweithrediad y cyfrifiadur neu’r data sydd arno.)

   e. Dylid gwirio unrhyw atodiadau e-bost ac unrhyw ffeiliau o ffynhonnell ansicr (er enghraifft ar CD-ROM neu wedi’u copïo ar draws y rhwydwaith) am feddalwedd maleisus cyn iddynt gael eu defnyddio.

   Ceir rhagor o wybodaeth ar:

   http://www.aber.ac.uk/cy/is/regulations/security/

4. Rheoli cyfrinair defnyddiwr
   
   Rhaid i ddefnyddwyr sicrhau fod unrhyw gyfrineiriau sy’n gyfrifoldeb iddynt yn aros yn gyfrinachol ac nad ydynt yn cael eu rhannu neu eu cofnodi mewn modd sy’n caniatáu i bersonau anawdurdodedig gael mynediad atynt. Dylid newid cyfrineiriau bob blwyddyn neu os oes posibilrwydd fod diogelwch wedi’i gyfaddawdu. Ceir canllawiau ar:
   
   http://www.aber.ac.uk/cy/is/regulations/passwords/
   
   
5. Polisi sgrin glir
   
   Ni ddylid gadael cyfrifiaduron staff heb eu cloi. Yn benodol, yn dilyn cyfnod segur, dylai cyfrifiaduron staff huno (time-out), gyda chyfleuster arbedwyr sgrin â chyfrifnair i’w hamddiffyn.
   
   
6. Diogelwch cyfarpar ffisegol
   

   a. Dylid gadael swyddfeydd ac ardaloedd eraill sy’n cynnwys cyfarpar cyfrifiadurol mewn cyflwr diogel pan nad oes neb yno er mwyn gwarchod rhag perygl lladrad.

   b. Ni ddylid mynd â chyfarpar y Brifysgol sy’n cynnwys data sensitif o’r lleoliad oni bai fod y Pennaeth Adran wedi cytuno â’r amgylchiadau penodol, ac ni ddylid eu gadael mewn mannau cyhoeddus.

   c. Dylai gweithio o gartref fod yn ddarostyngedig i’r un polisi a rheolaethau o ran mynediad i’r system â gweithio ar y safle.

   
   
   
7. Gwaredu diogel neu ailddefnyddio cyfarpar
   

   Rhaid dilyn gweithdrefn y Brifysgol ar gyfer gwaredu cyfrifiaduron sy’n cynnwys gwybodaeth sensitif. Cyfrifoldeb pob aelod o staff yw sicrhau fod unrhyw gyfarpar dan eu cyfrifoldeb wedi’i wirio er mwyn sicrhau fod data sensitif a meddalwedd trwyddedig wedi’u trosysgrifo neu ddinistrio cyn cyflwyno’r system i’w gwaredu neu ei hailddefnyddio.

   Mae polisi PA ar waredu i’w weld ar:

   https://www.aber.ac.uk/en/hse/proc-prac/wastemanagement

8. Meddalwedd
   

   Rhaid cydymffurfio â gofynion trwyddedu meddalwedd, a rhaid i unrhyw feddalwedd sy’n cael ei ddefnyddio fod wedi’i gael yn gyfreithiol. Os yw’r drwydded yn cyfyngu ar y nifer o gopïau y gellir eu gwneud, y defnyddwyr sy’n cael ei ddefnyddio neu os yw’n pennu lleoliad neu gategori’r peiriant y gellir ei osod arno, rhaid i staff gydymffurfio â hynny. Dylid cadw prawf o berchnogaeth trwyddedau (e.e. trwyddedau, disgiau meistr, llawlyfrau) lle bo’n bosibl. Dylai unrhyw feddalwedd sydd wedi’i drwyddedu at ddefnydd cyflogeion gael ei ddileu pan fydd cyflogai yn gadael y Brifysgol.

   Mae fframwaith trwyddedu PA i’w weld ar:

   http://www.aber.ac.uk/cy/is/regulations/
   
   
9. Adrodd digwyddiadau amheus
   

   Os yw staff yn dod ar draws gwybodaeth neu weithgaredd yn ystod eu defnydd o wasanaeth cyfrifiadura PA sy’n achosi pryder iddynt, dylent roi gwybod am hyn drwy ddefnyddio Gweithdrefn y Brifysgol ar gyfer Ymateb i Ddigwyddiad Diogelwch, a esbonnir ar:
   
   http://www.aber.ac.uk/cy/is/regulations/sirp/

10. Cywirdeb ac argaeledd data
    

    Rhaid i ddefnyddwyr sicrhau eu bod yn cynnal cywirdeb unrhyw ddata electronig o eiddo’r Brifysgol sydd dan eu rheolaeth (er enghraifft drwy warchod yn erbyn newid heb ei awdurdodi a chreu copïau wrth gefn yn rheolaidd) yn ogystal â sicrhau bod unrhyw ddata o’r fath yn cael eu pasio ymlaen fel bo’r angen wrth ymadael.

11. Polisi Diogelu Data
    

    Mae gan y Brifysgol Bolisi Diogelu Data llawn ac mae’n rhaid cydymffurfio ag ef wrth ymdrin â data personol. Mae Llawlyfr Diogelu Data PA i’w weld ar:

    http://www.aber.ac.uk/cy/infocompliance/dp/
    
    

Cyfrifoldebau Penaethiaid Adran

1. Cydymffurfiaeth staff â’r polisi
   Cyfrifoldeb y Pennaeth Adran yw sefydlu gweithdrefnau adrannol i fonitro bod staff yn aros o fewn Polisi Diogelu Gwybodaeth PA.
   
   
2. Staff yn gadael
   Pan fydd aelod o staff yn gadael yr adran, y Pennaeth Adran sy’n gyfrifol am sicrhau nad oes unrhyw ddata sensitif ar unrhyw gyfarpar cyfrifiadurol a waredir a bod unrhyw gyfarpar a drosglwyddir i aelod arall o staff yn cynnwys data o’r fath i’r graddau sy’n angenrheidiol er budd parhaus yr adran yn unig. Hefyd dylai sicrhau fod unrhyw ddata y bydd eu hangen ar yr adran neu’r Brifysgol yn y dyfodol yn cael eu canfod a’u trosglwyddo i berson priodol.
   
   
3. Meddalwedd
   Wrth awdurdodi pwrcasu meddalwedd at ddefnydd yr adran, rhaid i’r Pennaeth Adran sicrhau fod darpariaethau’r drwydded yn cael eu parchu.
   
   
4. Awdurdodi Defnyddwyr
   Gallai fod yn ofynnol i Benaethiaid Adran ddilysu ceisiadau gan unigolion penodol am fynediad at systemau’r Gwasanaethau Gwybodaeth neu fynediad at adnoddau data cyfyngedig penodol. Wrth ddilysu’r fath geisiadau, dylai’r Pennaeth Adran fod yn fodlon bod cais y defnyddiwr am fynediad o’r fath i bwrpas gwaith neu astudio yn ddilys. Dylai’r cyfnod o fynediad y gofynnir amdano fod yn briodol, a dylai’r Pennaeth Adran sicrhau fod y Gwasanaethau Gwybodaeth yn cael eu hysbysu ynglyn ag unrhyw newid mewn amgylchiadau fyddai’n golygu y dylai mynediad o’r fath gael ei derfynu.
   
   

Cyfrifoldebau adrannol wrth redeg gweinyddion[2]

1. Gosod y gweinydd
   Cyn archebu gweinydd, rhaid i adrannau gysylltu â Gwasanaethau Gwybodaeth er mwyn adolygu’r angen, gwirio bod nodweddion diogelwch yn cael eu pennu’n ddigonol a chynnig cyngor arall hefyd.
   
   
2. Ardaloedd diogel ffisegol
   Dylai ardaloedd sy’n cynnwys gweinyddion adrannol sy’n prosesu gwybodaeth allweddol neu sensitif fod wedi’u diogelu’n ffisegol i atal mynediad anawdurdodedig, niwed neu ymyrraeth, gan sicrhau rheolaeth gyffredinol drwy weithdrefnau diogelwch confensiynol. Dylid cyfyngu mynediad at ardaloedd o’r fath i bersonau a awdurdodwyd yn unig.
   
   
3. Cymhennu
   Dylid gwneud copïau wrth gefn o wybodaeth a meddalwedd hanfodol yn rheolaidd gan ddilyn amserlen briodol. Dylid gwirio prosesau sy’n ymwneud â chyfryngau wrth gefn ac adfer yn rheolaidd er mwyn sicrhau eu bod yn effeithiol. Dylid cadw copïau o gyfryngau wrth gefn mewn lleoliad diogel i ffwrdd o ardal y gweinydd.

   Dylid cadw ffeiliau log yn cofnodi mynediad at wasanaethau a thrafnidiaeth y rhwydwaith am gyfnodau o amser a than reolaeth archwilio fel y pennir gan y Brifysgol.

   
   
   
4. Diogelwch y System
   Rhaid canfod problemau diogelwch a’u hystyried yn fuan wrth bwrcasu neu ddatblygu systemau gwybodaeth newydd.
   
   
5. Rheolaeth Parhad Busnes
   Amcan rheolaeth parhad busnes yw lleihau unrhyw aflonyddu i systemau gwybodaeth allweddol a achosir er enghraifft gan drychinebau naturiol, damweiniau, methiant y cyfarpar a gweithredoedd bwriadol. Dylid sefydlu cynlluniau, gyda pherchennog dynodedig i bob un, o fewn fframwaith cynllunio parhad busnes.
   
   

Cyfrifoldebau PA

1. Hyfforddiant
   Bydd y Brifysgol yn cynnig hyfforddiant cyson ym mhrif agweddau Diogelwch Gwybodaeth ynghyd â’r Rheoliadau a’r Canllawiau cefnogol i bob grwp o staff a ddynodir yn y ddogfen hon.
   
   
2. Cyngor Technegol
   Drwy’r Gwasanaethau Gwybodaeth bydd PA yn sicrhau fod staff cymwysedig a dogfennau ar-lein ar gael i gynorthwyo defnyddwyr wrth gyflawni eu dyletswyddau fel y’i hamlinellir yn y Polisi hwn.
   
   
3. Newidiadau i’r Rheoliadau
   Bydd y Brifysgol yn cysylltu â staff yn y modd mwyaf priodol i’w hysbysu ynglyn ag unrhyw newidiadau i’r Rheoliadau neu’r Canllawiau. Bydd hyn yn cynnwys defnydd o’r e-bost wythnosol.
   
   
4. Gweithdrefnau awtomaidd
   Ar ran PA bydd y Gwasanaethau Gwybodaeth yn dynodi’r ardaloedd lle bydd yn bosibl ymgorffori gweithdrefnau awtomaidd i’w gwasanaeth cyfrifiadura i gefnogi’r cyfrifoldebau staff a ddynodir yn y Polisi hwn (mae gorfodi newid cyfrinair yn un enghraifft o hyn).
   
   
5. Ymateb i ddigwyddiadau diogelwch

   Bydd y Gwasanaethau Gwybodaeth yn gweithredu Gweithdrefn Ymateb i Ddigwyddiadau Diogelwch y Brifysgol, gan gynnwys cymryd camau angenrheidiol i warchod cywirdeb y rhwydwaith a’i argaeledd i ddefnyddwyr eraill fel y disgrifir yn:

   http://www.aber.ac.uk/cy/is/regulations/sirp/
   
   
6. Cefnogaeth i weinyddion
   Mae’r Gwasanaethau Gwybodaeth yn gallu darparu cyngor ar gefnogi gweinyddion adrannol neu gallant gynnig gwasanaeth ar gyfer cartrefu a chynnal gweinyddion.
   
   

Cymhwysedd a Gorfodaeth

Mae’r Polisi hwn yn bethnasol i holl Ddefnyddwyr Gwybodaeth PA a’r rheini sy’n defnyddio ei chyfleusterau a’i gwybodaeth. Bydd cydymffurfio â’r Polisi yn rhan o’r contract cyflogaeth, yn amod Cofrestru Myfyrwyr ac yn rhan o’r broses o ganiatáu mynediad at y cyfleusterau i bobl eraill.

Gallai methu â chydymffurfio â’r Polisi Diogelu Gwybodaeth niweidio gallu PA i gyflawni ei chenhadaeth, ei hamcanion diogelwch a niweidio enw da proffesiynol y sefydliad. Yn y pen draw, caiff ei drin fel mater disgyblu. Cadeirydd y Pwyllgor Gwybodaeth Reoli [MIC] fydd â’r cyfrifoldeb cyffredinol am yr holl benderfyniadau’n ymwneud â gorfodi’r polisi hwn, gan ddefnyddio’r cosbau cyfreithiol neu weithdrefnau disgyblu staff neu fyfyrwyr sydd eisoes yn bodoli fel bo’n briodol.

Gweler hefyd

Datganiad Polisi ar Ddiogelu Gwybodaeth

----------------------------------------------------------------

[1] Mae ‘Pennaeth Adran’ yn cynnwys Cyfarwyddwyr Adrannau Gwasanaethau a’r Gofrestrfa.

[2] Gweinydd yw system gyfrifiadurol sy’n darparu gwasanaethau i systemau eraill; mae’r Gwasanaethau Gwybodaeth yn rhedeg gweinyddion i ddarparu cyfleusterau megis E-bost a Gwasanaeth Gwe PA, ac mae nifer o adrannau yn rhedeg gweinyddion naill ai i gefnogi gweithgareddau adrannol neu ar gyfer ymchwil penodol.