Polisi Rheoli Gwendidau

1.0 Diben  

Mae'r polisi hwn yn pennu’r ddyletswydd i ddod o hyd i wendidau technegol ac i fynd i'r afael â hwy yn gyflym ac yn effeithiol. Bydd hynny’n lleihau’r tebygolrwydd y byddai modd manteisio ar wendidau o’r fath, rhywbeth a allai arwain at ddifrod difrifol o ran diogelwch ac enw da Prifysgol Aberystwyth.   

2.0 Cwmpas  

Cwmpas y polisi hwn yw diffinio dyletswyddau’r Brifysgol o ran:   

a) Dod o hyd i wendidau 
b) Asesu gwendidau 
c) Ymdrin â gwendidau
ch) Rhoi gwybod am wendidau

3.0 Polisi  

3.1 Rhaid i holl systemau'r Brifysgol ganiatáu sganiau canolog am wendidau, a rhaid iddynt gael eu profi o bryd ei gilydd i weld a oes modd eu treiddio, a rhaid iddynt beidio â chael eu rhwystro'n fwriadol. 

3.2 Rhaid cynnal sganiau am wendidau yn y rhwydwaith mewnol ac allanol o leiaf bob chwarter neu ar ôl unrhyw newid sylweddol i'r rhwydwaith.  

3.3 Bydd cynllun yn cael ei greu i fynd i’r afael â gwendidau drwy flaenoriaethu cywiriadau yn ôl y risg i’r asedau. 

  • Dylid ymdrin â gwendidau sydd â sgôr uwch nag 8.9 yn ôl y System Sgorio Gwendidau Cyffredin (CVSS v3.0) cyn gynted â phosib, ac mae’n rhaid ymdrin â hwy ymhen 7 diwrnod. 
  • Rhaid ymdrin â gwendidau sydd â sgôr rhwng 7.0 – 8.9 yn ôl y CVSS ymhen 14 diwrnod. 
  • Rhaid ymdrin â gwendidau sydd â sgôr rhwng 4.0 – 6.9 yn ôl y CVSS ymhen 90 diwrnod. 
  • Dylid mynd i'r afael â'r gwendidau sydd â sgôr is na 4.0 yn ôl y CVSS ymhen 180 diwrnod, yn ystod y cylchoedd cynnal a chadw arferol. 

3.4 Bydd y cynllun adfer yn cael ei ddilysu drwy ailsganio. 

3.5 Rhaid i brofion am wendidau treiddio i’r rhwydwaith mewnol, y rhwydwaith allanol, a rhaglenni a letyir gael eu cynnal bob blwyddyn o leiaf, neu ar ôl unrhyw newidiadau sylweddol i’r amgylchedd.  

3.6 Bydd unrhyw wendidau y gellir eu manteisio arnynt a ganfuwyd yn ystod prawf treiddio yn cael eu cywiro a'u hailbrofi i gadarnhau bod y gwendid wedi'i gywiro ymhen 14 diwrnod ar ôl ei ddarganfod. 

3.7 Bydd angen i unrhyw wendidau sydd â sgôr uwch na 7.0 yn ôl y CVSS, os nad ymdrinnir â hwy yn unol â'r amserlen uchod, gael eu cofnodi a'u hychwanegu at gofrestr risg y Brifysgol, a bydd rhaid rhoi gwybod hefyd i Grŵp Gweithredol y Brifysgol. 

3.8 Rhaid rhoi gwybod i'r Swyddog Seiberddiogelwch ac i’r timoedd cymorth TG am unrhyw dystiolaeth am achosion lle yr amharwyd ar Adnodd Gwybodaeth neu y manteisiwyd arno a ddarganfuwyd yn ystod sganio am wendidau / profion treiddio.  

4.0 Polisïau Ategol  

Dylid darllen y polisi hwn ar y cyd â pholisïau cyswllt eraill megis: 

5.0 Hanes y Ddogfen ac Adolygiadau arni   

Bydd y Grŵp Diogelwch Gwybodaeth yn monitro effeithiolrwydd y polisi hwn ac yn cynnal adolygiadau rheolaidd.  

Diweddarir y Polisi hyn gan y Gwasanaethau Gwybodaeth. Fe’u hadolygwyd ddiwethaf ym mis Awst 2023 a byddant yn cael eu hadolygu eto ym mis Awst 2024