Polisi Seiberddiogelwch a Diogelwch Gwybodaeth

Amcan seiberddiogelwch a diogelwch gwybodaeth yw cyflawni a chynnal sefyllfa lle mae'r holl wybodaeth a data (ffisegol a digidol) bob amser ar gael i bawb sydd eu hangen ac sydd wedi'u hawdurdodi i gael mynediad atynt, lle na ellir eu llygru na'u datgelu i bobl anawdurdodedig, a bod eu tarddiad wedi’i ddilysu. Mae hyn yn cynnwys sicrhau:

Cyfrinachedd
sicrhau bod gwybodaeth yn hygyrch i bobl awdurdodedig yn unig drwy gydol ei hoes gyfan;

Uniondeb
diogelu cywirdeb a chyflawnrwydd gwybodaeth a dulliau prosesu, a sicrhau mai dim ond personau awdurdodedig a all eu haddasu;

Argaeledd
sicrhau bod gan ddefnyddwyr awdurdodedig fynediad at wybodaeth ac asedau cysylltiedig pan fo angen;

Anymwrthod
y sicrwydd bod anfonwr gwybodaeth yn cael prawf danfon a bod y derbynnydd yn cael prawf o hunaniaeth yr anfonwr, felly ni all y naill na'r llall wadu'n ddiweddarach ei fod wedi prosesu'r wybodaeth. Yn ogystal, gallu dangos tystiolaeth bod unigolyn wedi cael mynediad at wybodaeth ac a yw wedi'i newid ai peidio, gan sicrhau na ellir gwadu gweithredoedd.

Polisi'r Brifysgol yw sicrhau bod asedau gwybodaeth yn cael eu diogelu'n briodol rhag pob bygythiad, boed yn fewnol neu'n allanol, yn fwriadol neu'n ddamweiniol. Felly, mae'r polisi yn ei gwneud yn ofynnol bod mesurau'n cael eu rhoi ar waith i wrthsefyll ymyriadau i weithgareddau busnes ac i amddiffyn prosesau busnes hanfodol rhag effeithiau methiannau mawr systemau gwybodaeth, trychinebau a mynediad heb awdurdod.

Cyflawnir hyn trwy weithredu cyfuniad o reolaethau sefydliadol a thechnegol a gefnogir gan ganllawiau a phrosesau sydd wedi'u cynllunio i ganfod, atal ac oedi ymosodiadau diogelwch a hwyluso ymchwiliadau.

Cwmpas

Mae'r polisi hwn yn berthnasol i'r holl staff, myfyrwyr ac unrhyw drydydd parti sy'n cyrchu a/neu'n defnyddio adnoddau technoleg ddigidol a gwybodaeth y Brifysgol.

Mae'r polisi hwn yn berthnasol i:
• holl ddata a gwybodaeth (ffisegol a digidol), gwasanaethau gwybodaeth, systemau gwybodaeth, technoleg gwybodaeth, rhwydweithiau a chymwysiadau’r Brifysgol waeth beth fo'r ddyfais a ddefnyddir i gael mynediad iddynt neu’r lleoliad y gwneir hynny;
• holl ddyfeisiau Gwasanaethau Digidol y Brifysgol waeth at ba ddiben y maent yn cael eu defnyddio;
• dyfeisiau personol a ddefnyddir i gyrchu data a gwybodaeth (ffisegol a digidol), gwasanaethau gwybodaeth, systemau gwybodaeth, technoleg gwybodaeth, rhwydweithiau a chymwysiadau’r Brifysgol waeth beth fo'u lleoliad, boed ar y campws neu oddi ar y campws;

Cyfeirir at yr uchod i gyd fel "Systemau Gwybodaeth" yn y datganiadau polisi.

Rolau, Cyfrifoldebau a Chydymffurfio

Mae'r CISO (Prif Swyddog Diogelwch Gwybodaeth) yn gyfrifol am greu a datblygu strategaeth seiber a gwybodaeth barhaus, a pholisïau cysylltiedig, fel bod y Brifysgol yn cydymffurfio â deddfwriaeth berthnasol gan gynnwys:

• Deddf Diogelu Data (2018)
• Rheoliad Cyffredinol ar Ddiogelu Data (Fersiynau’r UE a'r DU)
• Deddf Camddefnyddio Cyfrifiaduron (1990)
• Deddf Hawlfraint, Dyluniadau a Phatentau 1988
• Deddf Gwrthderfysgaeth a Diogelwch (2015), yn enwedig y Ddyletswydd Atal
• Deddf Cydraddoldeb 2010
• Deddf Rhyddid Gwybodaeth (2000)
• Deddf Rheoleiddio Pwerau Ymchwilio (2000)
• Deddf Rheoli Allforio (2002)
• Deddf Cyfathrebu (2003) - A127 Cyfathrebu Maleisus
• Rheoliadau Diogelwch Systemau Rhwydwaith a Gwybodaeth (2018)

Yn ogystal, mae'r CISO yn gyfrifol am weithredu'r swyddogaeth Seiberddiogelwch o ddydd i ddydd yn y Brifysgol.

Mae gan y Prif Swyddog Digidol a Gwybodaeth gyfrifoldeb gweithredol cyffredinol am wasanaethau digidol a gwybodaeth yn y Brifysgol, gan gynnwys seiberddiogelwch a diogelwch gwybodaeth.

Y Prif Swyddog Gweithredu a'r Cofrestrydd yw'r Uwch Berchennog Risg Gwybodaeth (SIRO). Mae'r SIRO yn atebol am risg gwybodaeth yn yr Uwch Dîm Arwain ac mewn trafodaethau mewnol, gan sicrhau yr ymchwilir i fygythiadau i ddiogelwch gwybodaeth a nodwyd a bod digwyddiadau’n cael eu rheoli.

Mae'r Pwyllgor Digidol yn cymeradwyo strategaethau a pholisïau’n ymwneud â seiber a gwybodaeth.

Mae'r Uwch Dîm Arwain yn cadarnhau strategaethau a pholisïau’n ymwneud â seiber a gwybodaeth.

Mae aelodau o Dîm Diogelwch Seiber y Brifysgol yn arwain y gwaith cyfathrebu, yn cynghori ar hyfforddiant a chydymffurfiaeth, a'r camau angenrheidiol i sicrhau defnydd diogel o wybodaeth a thechnoleg y Brifysgol. Ymhellach, maent yn rhannu arfer gorau a gwybodaeth am arferion perthnasol, ardystio seiberddiogelwch a chydymffurfiaeth, ac maent yn gyfrifol am gynghori ar gydymffurfiaeth â'r polisïau hyn a'r prosesau cysylltiedig.

Mae telerau ac amodau cyflogaeth staff (https://staff.swansea.ac.uk/cy/adnoddau-dynol/polisiau-a-gweithdrefnau/#trefniadau-cyflogaeth-a-chontractiol=is-expanded) yn nodi bod yn rhaid i weithwyr ddilyn rheoliadau'r Brifysgol sy'n cynnwys y rhai yn y polisi hwn.

Mae Rheolwyr Llinell yn darparu arweiniad penodol ar gydymffurfiaeth i unrhyw aelod o staff y mae ei ddyletswyddau yn gofyn am gydymffurfiaeth, gyda chefnogaeth Tîm Seiberddiogelwch y Gwasanaethau Digidol lle bo angen. Gellir gofyn am y cymorth hwn drwy agor tocyn Desg Wasanaeth.

Mae'r Rheoliadau Myfyrwyr yn datgan bod yn rhaid i fyfyrwyr ddilyn rheoliadau'r Brifysgol sy'n cynnwys y rhai yn y polisi hwn (https://myuni.swansea.ac.uk/cy/bywyd-academaidd/rheoliadau-academaidd/).

Rhaid i bob defnyddiwr trydydd parti sy'n cael mynediad at dechnoleg gwybodaeth y Brifysgol gytuno i gadw at Bolisïau Seiberddiogelwch a Diogelwch Gwybodaeth y Brifysgol.

Mae'n ddyletswydd ar yr holl staff, myfyrwyr a thrydydd partïon i ddeall a chadw at y polisïau, canllawiau a phrosesau a gyhoeddir yn ymwneud â Seiberddiogelwch a Diogelwch Gwybodaeth.

Mae'r polisi hwn ar gael yn electronig ar y Fewnrwyd. Bydd diweddariadau’n cael eu cyhoeddi yn yr un lle.

Torri Polisi

Bydd y CISO, neu unigolyn enwebedig, yn ymchwilio i'r holl achosion a amheuir o dorri'r polisi hwn, a chymerir camau priodol, gan gynnwys adrodd ar y canfyddiadau i'r rheolwyr priodol a’r posibilrwydd o atgyfeirio i ymchwiliad ffurfiol yn unol ag Ordinhad Ymddygiad y Brifysgol. Bydd crynodeb o'r holl ymchwiliadau yn cael ei adrodd i Uwch Dîm Arwain y Brifysgol a'r Pwyllgor Archwilio a Sicrwydd Risg, heb enwi unigolion.

Gall methiant defnyddiwr i gydymffurfio ag unrhyw ran o'r Polisi Diogelwch Seiber a Gwybodaeth arwain at gychwyn y prosesau disgyblu perthnasol a gellir cymryd camau perthnasol. Pan amheuir gweithgarwch anghyfreithlon, hysbysir yr asiantaeth gorfodi'r gyfraith berthnasol.

Adolygiad Polisi

Bydd y Polisi Seiberddiogelwch a Diogelwch Gwybodaeth yn cael ei adolygu o leiaf bob blwyddyn ac os bydd yna newidiadau i ddeddfwriaeth, y sefydliad neu fygythiadau. Lle bo'n briodol, bydd polisïau'n cael eu diweddaru gan nodi camau ychwanegol sydd eu hangen i wella diogelwch adnoddau, systemau a gwasanaethau. Bydd diwygiadau i'r Set Polisi Seiberddiogelwch a Diogelwch Gwybodaeth yn cael eu cymeradwyo gan yr Uwch Dîm Arwain.

Datganiad Parodrwydd i Dderbyn Risg Seiber a Gwybodaeth

Ni fydd y Brifysgol yn derbyn unrhyw risgiau y gellir eu hosgoi a allai beryglu diogelwch ei data a'i gwybodaeth (ddigidol a ffisegol). Mae peryglu yn cynnwys colli cyfrinachedd, uniondeb, neu argaeledd gwybodaeth yn ogystal â cholli Gwasanaethau Gwybodaeth sy'n deillio o weithgaredd maleisus neu ddamweiniol.

O ganlyniad, mae parodrwydd y Brifysgol i dderbyn risg seiberddiogelwch a diogelwch gwybodaeth yn isel (fel y'i diffinnir gan fframwaith rheoli risg y Brifysgol) oherwydd maint a sensitifrwydd y wybodaeth y mae'n ei chreu, ei thrin a'i rhannu. O'r herwydd, mae'n rhaid i bob rhan o'r Brifysgol gymryd mesurau i ddiogelu ein data a'n gwybodaeth rhag digwyddiadau seiberddiogelwch a diogelwch gwybodaeth.

Mae angen i seiberddiogelwch a diogelwch gwybodaeth gael eu hymgorffori yn holl weithgareddau'r Brifysgol gan yr holl staff, myfyrwyr a thrydydd partïon. Felly, cyfrifoldeb yr holl staff, myfyrwyr a thrydydd partïon yw sicrhau bod y rheolaethau seiberddiogelwch a diogelwch gwybodaeth priodol, sy'n ymwneud â phobl, prosesau a thechnoleg, ar waith ac yn gweithredu'n effeithiol bob amser.

Eithriadau’r Polisi Seiberddiogelwch a Diogelwch Gwybodaeth

Bydd methu â chydymffurfio â pholisïau a phrosesau Seiberddiogelwch a Diogelwch Gwybodaeth yn digwydd o bryd i'w gilydd am amrywiaeth o resymau. Yn yr achos hwn, bydd angen eithriad o'r polisi.

Dylid cychwyn y Broses Eithrio Seiberddiogelwch a Diogelwch Gwybodaeth pan fydd angen eithriad. Gweler adran 9 o'r polisi hwn am fwy o fanylion.

Mae'r polisïau a'r prosesau yn sicrhau bod lefel briodol o risg yn cael ei chynnal gan y Brifysgol ac felly mae'n rhaid asesu unrhyw eithriad i'r rhain yn llawn i sicrhau bod y lefelau risg wedi'u newid yn cael eu deall a'u cymeradwyo.

Datganiadau Polisi

8.1. Rheoli Seiberddiogelwch a Diogelwch Gwybodaeth

8.1.1. Mae'r Polisi Seiberddiogelwch a Diogelwch Gwybodaeth yn cefnogi gweledigaethau strategol y Brifysgol a Digidol trwy ddiffinio'r dull lefel uchel a gymerir i leihau'r risgiau cysylltiedig i'w diogelwch, ei henw da, ei chyllid a'i gweithrediadau.

8.1.2. Bydd yr wybodaeth a reolir gan y Brifysgol yn cael ei diogelu'n briodol i ddiogelu cyfrinachedd, uniondeb ac argaeledd.

8.1.3. Bydd mesurau diogelwch cymesur yn cael eu rhoi ar waith i amddiffyn Systemau Gwybodaeth rhag risgiau seiber a risgiau’n ymwneud â gwybodaeth. Bydd y Brifysgol yn sicrhau diogelwch ei hasedau gwybodaeth er mwyn:

• Cynnal uniondeb ac ansawdd gwybodaeth fel ei bod yn gywir, yn gyfredol ac yn addas i'r diben
• Sicrhau bod gwybodaeth ar gael i'r rhai sydd ei hangen a sicrhau nad oes unrhyw darfu ar fusnes y Brifysgol
• Sicrhau nad yw cyfrinachedd yn cael ei dorri fel mai dim ond y rhai sydd ag awdurdod i wneud hynny sy’n cyrchu gwybodaeth
• Darparu sicrwydd o anymwrthod

8.1.4. Bydd y Brifysgol yn datblygu ac yn cyfathrebu polisïau, canllawiau a phrosesau Seiberddiogelwch a Diogelwch Gwybodaeth y mae'n ofynnol i'r holl staff, myfyrwyr a thrydydd partïon gydymffurfio â hwy a thrwy hynny sicrhau ei bod yn bodloni ei gofynion cydymffurfio cyfreithiol a rheoleiddiol.

8.1.5. Mae'r Brifysgol wedi ymrwymo'n llwyr i gyflawni ei Dyletswyddau Atal.

8.1.6. Mae'r Brifysgol yn cydnabod bod gan bob aelod o staff, myfyriwr a thrydydd parti gyfrifoldeb mewn perthynas â Seiberddiogelwch a Diogelwch Gwybodaeth. Mae'r Brifysgol wedi ymrwymo i raglen ymwybyddiaeth, hyfforddiant ac addysg er mwyn mynd i'r afael â'r rhwymedigaeth hon.

8.1.7. Bydd rheolaethau diogelwch yn cael eu dogfennu a'u cyfleu i'r holl randdeiliaid perthnasol.

8.2. Rheoli Risg Seiberddiogelwch a Diogelwch Gwybodaeth

8.2.1. Bydd y Brifysgol yn cymryd camau priodol i nodi, asesu a rheoli risgiau diogelwch i Systemau Gwybodaeth y Brifysgol ac unrhyw dechnolegau eraill sy'n rhan o ystad Ddigidol y Brifysgol.

8.2.2. Bydd dull sefydliadol wrth ymdrin â Rheoli Risg Seiberddiogelwch a Diogelwch Gwybodaeth, gyda Risgiau Seiberddiogelwch a Diogelwch Gwybodaeth yn cael eu rheoli fel rhan o Fframwaith Rheoli Risg Prifysgol Abertawe i sicrhau bod risgiau'n cael eu rheoli yn unol â pharodrwydd diffiniedig y Brifysgol i dderbyn risg.

8.3. Rheoli Asedau Seiber a Gwybodaeth

8.3.1. Bydd asedau gwybodaeth, caledwedd a meddalwedd y Brifysgol yn cael eu cofnodi mewn cofrestrau asedau cywir a chyfredol, gan gynnwys manylion perchnogion busnes.

8.3.2. Bydd cofnodion gwybodaeth asedau yn ddigonol i alluogi gwneud penderfyniadau sy'n seiliedig ar risg, lleihau'r risg o beryglu yn sgil gwendid mewn caledwedd a meddalwedd, amddiffyn asedau rhag colled, cwrdd â gofynion cydymffurfio, a llywio contractau.

8.3.3. Bydd y Brifysgol yn sicrhau bod y cofrestrau asedau yn cael eu gwirio'n rheolaidd am anghysondebau, eu diogelu i sicrhau eu cywirdeb a’u hadolygu.

8.4. Rheoli Seiber a Mynediad Gwybodaeth

8.4.1. Mae mynediad at Systemau Gwybodaeth y Brifysgol yn cael ei reoli a'i fonitro trwy bolisïau, canllawiau a phrosesau.

8.4.2. Defnyddir manylion unigryw cyfrifon defnyddwyr i reoli mynediad staff, myfyrwyr a thrydydd partïon at Systemau Gwybodaeth y Brifysgol a lleoliadau yn ôl yr angen ar gyfer eu rôl a'u tasgau swyddogaethol.

8.4.3. Rhaid diogelu pob cyfrif gan ddefnyddio ffactor deuol, lle bynnag y bo'n bosibl. Pan ddefnyddir cyfrineiriau, rhaid iddynt fod yn gymhleth ac yn anodd eu dyfalu yn unol â'r cyngor diweddaraf yr NCSC.

8.4.4. Ni fydd cyfrifon defnyddwyr Gweinyddol a/neu Freintiedig ond yn cael eu defnyddio pan fo angen ar gyfer gweithgareddau gweinyddol neu uwch, ac nid ar gyfer tasgau gwaith o ddydd i ddydd, a byddant yn cael eu hadolygu a'u dileu'n rheolaidd pan nad oes eu hangen mwyach. Rhoddir cyrchfreintiau ar gyfer pob cyfrif defnyddiwr yn unol â'r egwyddor braint leiaf a thrwy gymhwyso’r egwyddor honno.

8.4.5. Bydd y Brifysgol yn defnyddio system Rheoli Hunaniaeth a Mynediad ar gyfer rheoli cyfrifon defnyddwyr drwy gydol eu cylch oes. Bydd y system yn sicrhau bod manylion mewngofnodi cyfrif unigryw yn cael eu creu, eu diweddaru a'u dileu yn brydlon i reoli mynediad at Systemau Gwybodaeth a lleoliadau sy'n angenrheidiol ar gyfer swyddogaeth y rôl.

8.4.6. Bydd y Brifysgol yn sicrhau bod mesurau Adnabod, Awdurdodi, Cyfrifyddu ac Archwilio priodol ar waith ar gyfer yr holl Systemau Gwybodaeth. Bydd lefel briodol o gofnodi, monitro a chadw yn cael ei gweithredu.

8.5. Cadernid Busnes Seiber a Gwybodaeth

8.5.1. Bydd y Brifysgol yn cymryd camau priodol i sicrhau bod Diogelwch Gwybodaeth a Seiberddiogelwch yn rhan annatod o systemau rheoli parhad busnes y sefydliad a'i bod yn rhan gynhenid o gynllunio parhad busnes.

8.5.2. Bydd y Brifysgol yn sicrhau bod prosesau Rheoli Digwyddiadau Seiber wedi'u diffinio'n dda ar waith, wedi’u dogfennu ac yn cael eu profi'n rheolaidd.

8.5.3. Mae'r Brifysgol wedi ymrwymo i nodi a datrys digwyddiadau Seiberddiogelwch a Diogelwch Gwybodaeth yn gyflym, yn effeithiol ac yn unol â
gofynion cydymffurfio:

a. Bydd y Brifysgol yn nodi digwyddiadau Seiberddiogelwch a Diogelwch Gwybodaeth, yn ymateb iddynt ac yn adfer ohonynt er mwyn lleihau'r effaith ar fusnes a lleihau'r risg y bydd digwyddiadau tebyg yn digwydd.
b. Bydd y Brifysgol yn cydymffurfio â gofynion statudol a chontractiol mewn perthynas ag adrodd
c. Bydd y Tîm Ymateb i Ddigwyddiadau Seiber yn gyfrifol am reoli digwyddiadau Diogelwch Gwybodaeth a Seiberddiogelwch
d. Bydd adolygiad yn cael ei gynnal ar ôl pob digwyddiad o'r fath i ganfod yr achos sylfaenol, tynnu sylw at welliannau ac unrhyw wersi a ddysgwyd y gellir eu cymhwyso i wella'r broses.

8.5.4. Bydd y Brifysgol yn cwblhau rhaglen o asesu a lliniaru risg a fydd yn sicrhau bod cynlluniau adfer ar ôl trychineb manwl yn cael eu cofnodi ar gyfer pob gwasanaeth digidol sy'n hanfodol i fusnes, er mwyn i'r gwasanaeth hwnnw gael ei adfer o fewn yr amserlen y cytunwyd arni pe bai methiant mawr.

8.5.5. Bydd y Brifysgol yn datblygu, dogfennu a phrofi cyfres o gynlluniau i alluogi gwasanaethau busnes i barhau i gael eu darparu i lefel y cytunwyd arni, pe bai trychineb neu argyfwng yn effeithio ar Systemau Gwybodaeth. Bydd y cynlluniau hyn ar gael i randdeiliaid perthnasol.

8.5.6. Bydd Cynlluniau Parhad Busnes ac Adfer ar ôl Trychineb ar gyfer Seiber a Gwybodaeth yn cael eu datblygu fel rhan o Gynlluniau Parhad Busnes y Brifysgol. Bydd Cynlluniau Seiber a Gwybodaeth yn cael eu profi a'u hadolygu'n rheolaidd, er mwyn sicrhau bod y cynlluniau'n effeithiol ac yn addas i'r diben.

8.6. Rheoli Dyfeisiau a Gwasanaethau

8.6.1. Mae'r Brifysgol wedi ymrwymo i sicrhau bod dyfeisiau digidol sefydlog a chludadwy a ddefnyddir i gael mynediad at systemau gwybodaeth y Brifysgol yn cael eu rheoli'n ddiogel a'u hamddiffyn rhag risg seiber drwy gydol eu cylch oes.

8.6.2. Bydd dyfeisiau cyfrifiadurol defnyddwyr terfynol sefydlog a chludadwy sy'n eiddo i'r Brifysgol yn cael eu rheoli'n ganolog a'u ffurfweddu'n ddiogel yn unol â safonau arfer da derbyniol.

8.6.3. Mae'r Brifysgol wedi ymrwymo i sicrhau bod dyfeisiau cyfryngau storio sefydlog a chludadwy yn cael eu diogelu a'u rheoli'n briodol fel bod gwybodaeth a systemau'n cael eu diogelu tra bod data'n cael ei gludo a phan fydd yn llonydd.

8.6.4. Mae'r Brifysgol yn cefnogi 'dewch â'ch dyfais eich hun' (BYOD) ar yr amod ei bod yn bodloni'r safonau diogelwch gofynnol a fydd yn cael eu gorfodi gan reolaethau mynediad amodol.

8.7. Seiberddiogelwch a Gwybodaeth Diogelwch Ffisegol

8.7.1. Bydd y Brifysgol yn cyfyngu mynediad corfforol i'w chyfleusterau, megis canolfannau data ac ystafelloedd cyfarpar rhwydwaith, i bersonél awdurdodedig a bydd yn cael ei reoli’n unol â phrosesau rheoli mynediad wedi'u dogfennu.

8.7.2. Bydd y Brifysgol yn sicrhau bod prosesau priodol ar waith i leihau'r risgiau ffisegol i'w gwybodaeth, systemau a gwasanaethau o fygythiadau a pheryglon amgylcheddol mewnol ac allanol.

8.7.3. Bydd y Brifysgol yn sicrhau bod unrhyw berson(au) a ddisgrifir fel ymwelwyr â'r cyfleusterau cyfyngedig yn cael eu rheoli'n briodol ac yn cael eu goruchwylio'n briodol bob amser.

8.8. Dylunio Seiberddiogelwch a Diogelwch Gwybodaeth

8.8.1. Bydd y Brifysgol yn cymryd camau priodol i sicrhau bod ei Systemau Gwybodaeth a thechnolegau seilwaith digidol eraill wedi'u dylunio i fod yn ddiogel ac yn gallu gwrthsefyll digwyddiadau seiberddiogelwch.

8.8.2. Mae'r Brifysgol yn sicrhau bod prawf o darddiad, dilysrwydd ac uniondeb data yn cael eu hystyried wrth ddylunio a gweithredu atebion technoleg.

8.9. Diogelwch Rhwydwaith a Gweithredol

8.9.1. Mae'r Brifysgol wedi ymrwymo i sicrhau bod mesurau diogelwch priodol ar waith i reoli'r risgiau a nodir a sicrhau bod asedau gwybodaeth a gedwir yn Systemau Gwybodaeth y Brifysgol yn cael eu diogelu.

8.9.2. Bydd y Brifysgol yn cymryd camau priodol i ddiogelu cyfrinachedd, uniondeb ac argaeledd asedau gwybodaeth i atal defnyddwyr a dyfeisiau heb awdurdod rhag cael mynediad at ei Systemau Gwybodaeth.

a. Bydd mynediad at systemau a gwasanaethau gwybodaeth yn seiliedig ar yr egwyddor o fraint leiaf.
b. Bydd yr holl ddyfeisiau cysylltiedig yn cael eu ffurfweddu'n briodol, a'u monitro gan y Gwasanaethau Digidol.

8.9.3. Mae'r Brifysgol wedi ymrwymo i ddiogelu uniondeb ei hasedau gwybodaeth trwy gael systemau a phrosesau monitro ar waith sy'n cydgrynhoi logiau, yn adnabod bygythiadau seiber ac yn cefnogi ymchwiliadau.

8.9.4. Rhaid i bob newid i Systemau Gwybodaeth y Brifysgol gael eu hawdurdodi a'u gweithredu yn unol â phrosesau Rheoli Newid Gwasanaethau Digidol.

8.9.5. Rhaid i staff, myfyrwyr a thrydydd partïon gydweithredu’n amserol a darparu'r holl wybodaeth a mynediad angenrheidiol i gefnogi ymchwiliad gan Dîm Seiberddiogelwch y Gwasanaethau Digidol.

8.9.6. Bydd mesurau diogelwch yn cael eu dogfennu a'u cyfleu i randdeiliaid perthnasol ar ffurf canllawiau a phrosesau.

Eithriadau

Mae eithriadau i'r polisi hwn yn gofyn am gymeradwyaeth ymlaen llaw gan naill ai:

• Ddeon Gweithredol y Gyfadran (ar gyfer academyddion a myfyrwyr) neu
• Gofrestrydd/Prif Swyddog Gweithrediadau (ar gyfer gwasanaethau proffesiynol a thrydydd partïon)
A hefyd
• Y Prif Swyddog Digidol a Gwybodaeth

Bydd pob eithriad yn cael ei adolygu bob chwe mis i sicrhau bod yr eithriad yn dal i fod yn ddilys yn unol â'r polisi hwn. Gellir dod o hyd i fanylion llawn y broses i gael eithriad yn XXX.

Polisïau a Phrosesau Cysylltiedig

• Polisi Defnydd Derbyniol o Dechnoleg Ddigidol
• Proses Eithrio Seiberddiogelwch a Diogelwch Gwybodaeth - TBC
• Polisi Ymchwil Sensitif o ran Diogelwch
• Polisi Ymchwil Ddibynadwy
• Polisi Dosbarthu Data - TBC
• Polisi Trin Data - TBC
• Telerau ac amodau cyflogaeth staff
• Polisi Diogelu Data

Fersiwn

Polisi Seiberddiogelwch a Diogelwch Gwybodaeth
Rhif Polisi: DS.CS.POL.002.v1.0

Fersiwn: V1.0
Dosbarthiad data: Swyddogol
Dyddiad dod i rym: 14/05/2024
Diwygiwyd ddiwethaf: 14/05/2024
Cyfnod adolygu: Alynyddol
Dyddiad adolygu: 14/05/2025
Corff cymeradwyo: Uwch Dîm Arwain
Perchennog Polisi: CISO (Prif Swyddog Diogelwch Gwybodaeth)
Awdur y Polisi: Rheolwr Llywodraethu Seiber