Polisi Dosbarthu Dyfeisiau a Mynediad Gweinyddol

1.0 Rhagarweiniad 

Mae'r polisi hwn yn diffinio sut mae dyfeisiau cyfrifiadurol ym Mhrifysgol Aberystwyth yn cael eu dosbarthu i un o sawl grŵp. Mae gan y grwpiau hyn lefelau amrywiol o reolaeth ganolog a rheolaeth defnyddwyr, gyda'r nod o gynyddu ystum a chydymffurfiaeth Seiberddiogelwch cyffredinol y Brifysgol tra hefyd yn darparu opsiynau hyblyg i staff sy'n ymgymryd ag ymchwil a dyletswyddau na fyddent fel arall yn gydnaws â gwasanaeth pwynt terfyn a reolir yn llawn. 

2.0 Mynediad Gweinyddol 

Fel arfer, nid yw mynediad gweinyddol i ddyfeisiau sy'n eiddo i PA neu a reolir ganddi ar gael, ond gellir gwneud eithriadau os nad oes datrysiad arall yn briodol ar gyfer y math o waith sy'n cael ei wneud. Er enghraifft, efallai y bydd angen mynediad gweinyddol ar gyfer staff sy'n aml yn teithio i weithdai neu gynadleddau, neu sy'n rheoli caledwedd gwyddonol allanol.  

Rhaid prosesu ceisiadau am fynediad gweinyddol drwy'r Ffurflen Microsoft a rhaid yn gyntaf chwilio am gymeradwyaeth Rheolwr Llinell y sawl sy'n gwneud cais yn ogystal â'r Gwasanaethau Gwybodaeth. Cyn rhoi mynediad gweinyddol, bydd y Gwasanaethau Gwybodaeth yn gweithio gyda'r sawl sy'n gwneud cais i nodi a fyddai datrysiadau amgen nad ydynt yn cynnwys mynediad gweinyddol yn briodol.  

Ni fydd ceisiadau yn cael eu dal yn ôl yn ormodol, a gwneir pob ymdrech i sicrhau bod datrysiad yn cael ei ddarparu o fewn modd amserol. Rhaid i Gyfarwyddwr y Gwasanaethau Gwybodaeth, neu'r cynrychiolydd enwebedig, fod yn fodlon nad oes dewis hyfyw arall ar wahân i ddarparu mynediad gweinyddol. Bydd pob cais yn cael ei werthuso fesul achos, a bydd dull sy'n seiliedig ar risg yn cael ei ddefnyddio wrth ystyried ceisiadau.   

Er mwyn sicrhau bod datrysiadau’n cael eu darparu o fewn yr amserlen ofynnol, gofynnir i staff ddechrau ymgysylltu â'r Gwasanaethau Gwybodaeth ynglŷn â’u cais cyn gynted â phosibl. 

Rhaid i bob cais gynnwys cyfiawnhad ysgrifenedig yn amlinellu pam mae angen mynediad gweinyddol. Gall enghreifftiau gynnwys, ymhlith pethau eraill: 

  • Yr angen i osod meddalwedd arbenigol ar fyr rybudd (e.e., gweithio mewn safle o bell), lle byddai gosod canolog gan y Gwasanaethau Gwybodaeth yn anymarferol, 
  • Yr angen i reoli gosodiadau neu feddalwedd system yn barhaus (e.e., dyfeisiau offeryniaeth sy'n gysylltiedig ag offer labordy arbenigol), 
  • Nid oes unrhyw ffordd arall o gyflawni’r canlyniadau ymchwil neu academaidd a ddymunir heb roi mynediad gweinyddol. 

Rhaid gofyn am fynediad gweinyddol ar sail fesul defnyddiwr fesul peiriant a bydd yn cael ei adolygu'n flynyddol i sicrhau bod ei angen o hyd. 

2.1 Telerau Defnyddio – Mynediad Gweinyddol 

RHAID defnyddio mynediad gweinyddol i gyflawni dyletswyddau a amlinellir yn y cais gwreiddiol am fynediad gweinyddol yn unig. Os yw'r rheswm dros fod eisiau mynediad gweinyddol yn newid yn sylweddol o'r hyn y gofynnwyd amdano yn wreiddiol, rhaid gwneud cais arall.  

Gall enghreifftiau o ddefnydd amhriodol o gymwysterau gweinyddol gynnwys, ymhlith pethau eraill: 

  • Ceisio tynnu'r ddyfais o reolaeth ganolog (InTune, Jamf, InSalt). 
  • Ceisio osgoi mesurau diogelwch (ee, newid gosodiadau Microsoft Defender). 
  • Yn achos dyfeisiau a rennir, ceisio cyrchu data proffil defnyddiwr defnyddwyr eraill heb eu caniatâd ymlaen llaw. 

Mae mynediad gweinyddol yn fraint, nid hawl, a gellir ei ddiddymu gan y Gwasanaethau Gwybodaeth ar unrhyw adeg os nodir bod mynediad o'r fath yn cael ei gam-drin. Bydd unrhyw gamddefnydd o fynediad o'r fath yn cael ei uwch-gyfeirio drwy'r gweithdrefnau disgyblu AD a GG priodol.  

Rhaid i ddyfeisiau gydymffurfio â rheoliadau a pholisïau eraill y Gwasanaethau Gwybodaeth waeth beth fo’u lefel rheoli. 

Polisi gwrthfaleiswedd 

Polisi Rheoli Gwendidau 

3.0 Diffiniadau Dosbarth 

PAU Wedi'i Reoli'n Llawn 

Y categoreiddio diofyn ar gyfer pob dyfais sy'n eiddo i'r Brifysgol. Yn addas ar gyfer llawer o staff academaidd a chlerigol, mae'r dyfeisiau hyn yn cael eu rheoli'n llawn gan y Gwasanaethau Gwybodaeth ac mae'r cyfrifoldeb dros sicrhau eu diogelwch a'u diweddariadau wedi’i ganoli.  

PAU Wedi'i Reoli'n Rhannol 

Mae'r dyfeisiau hyn yn dechrau fel PAU Wedi'i Reoli'n Llawn, ond gellir rhoi mynediad gweinyddol i staff trwy LAPS yn dilyn y broses gymeradwyo a amlinellir yn 2.0.  

PAU Hunan-Reoli 

Mae'r rhain yn ddyfeisiau nad ydynt yn cael eu rheoli’n ganolog gan y Gwasanaethau Gwybodaeth. Rhaid cael cymeradwyaeth ymlaen llaw i gael dyfais 'hunanreoli' gan y Gwasanaethau Gwybodaeth trwy gais i Ddesg Gymorth y GG. Bydd gan ddyfeisiau yn y categori hwn fynediad cyfyngedig i ddata corfforaethol sensitif (ee, ABW ac AStRA), a dim ond at ddibenion academaidd neu ymchwil y dylid eu defnyddio.  Ni ddylai data personol neu sensitif gael ei gyrchu, ei storio na'i brosesu ar y dyfeisiau hyn. 

Mae'r defnyddiau priodol ar gyfer y categori hwn yn cynnwys: 

  • Dyfeisiau a ddefnyddir at un diben arbenigol yn unig nad yw'n cynnwys prosesu gwybodaeth bersonol neu fasnachol sensitif. 
  • Dyfeisiau nad oes arnynt angen cydymffurfiad Cyber Essentials. 
  • Dyfeisiau nad oes arnynt angen unrhyw fynediad rhwydwaith. 

Ymchwil (Cydymffurfio â CE) 

Mae'r dyfeisiau hyn mewn categori arbennig lle mae ymchwilydd yn gofyn am fynediad gweinyddol i gyflawni ei ddyletswyddau, ond mae angen ardystiad Cyber Essentials hefyd. Bydd angen gwerthuso pob achos lle bydd angen y mynediad hwn yn ofalus fesul achos a'i drafod gydag aelod o Dîm Seiberddiogelwch y Gwasanaethau Gwybodaeth. Cysylltwch â seiberddiogelwch@aber.ac.uk os ydych chi'n credu bod eich dyfais yn perthyn i'r categori hwn.  

Dyfeisiau Labordy Dysgu 

Mae'r rhain yn ddyfeisiau a ddefnyddir mewn lleoliad addysgu ac nid ydynt yn rhan o seilwaith “PSV” canolog y Brifysgol (Gwasanaeth Cyhoeddus). Er enghraifft, gall y rhain fod yn gyfrifiaduron Rapsberry Pi a ddefnyddir mewn sesiynau ymarferol. Ni ddylai data personol neu fasnachol sensitif gael ei gyrchu, ei storio na'i brosesu ar y dyfeisiau hyn. Bydd staff y Gwasanaethau Gwybodaeth yn hapus i gynorthwyo technegwyr adrannol i ffurfweddu'r dyfeisiau hyn yn gywir ar y rhwydwaith. 

PAU Offeryniaeth – Wedi'i reoli 

Fel arfer, mae dyfeisiau yn y categori hwn i'w cael mewn labordai ymchwil ac maent wedi'u cysylltu â darnau arbenigol o offer gwyddonol. Efallai y bydd rhai o'r dyfeisiau hyn yn addas i'w rheoli'n llawn gan y Gwasanaethau Gwybodaeth, ond bydd hyn yn aml yn dibynnu ar lawer o ffactorau, gan gynnwys gofynion meddalwedd a gyrrwr y caledwedd cysylltiedig.   

Rhaid i ddyfeisiau yn y categori hwn fod â system weithredu ddiweddar a gefnogir. Bydd mynediad i'r rhyngrwyd a mynediad i rai adnoddau mewnol yn cael ei ganiatáu. 

Mae'r defnyddiau priodol ar gyfer y categori hwn yn cynnwys: 

  • Dyfeisiau fel rhan o system neu offer wedi'i fewnosod (e.e., cyfrifiadur a ddarperir gan gyflenwr darn gwyddonol o offer labordy) 

PAU Offeryniaeth – Hunan-reoli 

Mae’r categoreiddio fel uchod, fodd bynnag, gallai’r canlynol fod yn wir am ddyfeisiau yn y categori hwn hefyd: 

  • Mae angen defnyddio systemau gweithredu heb gefnogaeth neu wedi dyddio (e.e., Windows XP) 
  • Ni ellir eu rheoli'n ganolog (ni ellir ymuno â Pharth Active Directory, er enghraifft) 
  • Mae gofynion eraill lle byddai'r rheolaeth ganolog neu weithredu polisïau diogelwch y Gwasanaethau Gwybodaeth yn effeithio ar y defnydd o'r offer sydd ynghlwm. 

Bydd gan y dyfeisiau hyn fynediad rhwydwaith mewnol cyfyngedig iawn, a dim mynediad i'r rhyngrwyd. 

Dod â'ch Dyfais Eich Hun (BYOD) 

Y dyfeisiau hyn yw'r rhai sy'n eiddo i unigolyn yn unig, ac nid ydynt yn cael eu prynu gan y Brifysgol nac unrhyw grantiau allanol a roddir i'r Brifysgol. Gall enghreifftiau o ddyfeisiau o'r fath gynnwys ffonau symudol, gliniaduron, a thabledi personol. 

Nid yw'n dderbyniol prynu dyfais at ddefnydd y Brifysgol, gan ddefnyddio arian y Brifysgol, ac yna ei dosbarthu fel 'Dod â'ch Dyfais Eich Hun'. Mae'n rhaid i bob dyfais sy'n eiddo i'r Brifysgol ddod o dan un o'r categorïau uchod fel y gellir eu stocrestru a'u holrhain gan y Gwasanaethau Gwybodaeth at ddibenion cydymffurfio ac adrodd.  

Bydd dyfeisiau yn y categori hwn yn cael mynediad llawn i’r rhyngrwyd, a rhywfaint o fynediad i adnoddau mewnol. Bydd angen defnyddio VPN GlobalProtect ar rai o’r adnoddau mewnol i'w cyrchu o'r dyfeisiau hyn, hyd yn oed pan fyddant wedi'u cysylltu ag eduroam. 

4.0 Dosbarthiadau Dyfais 

Dosbarthiad  

Cydymffurfiaeth CE  

Mynediad Gweinyddol  

Amnewid Canolog 

Yn cael ei gefnogi gan y GG  

Dyfeisiau Enghreifftiol  

Wedi’i reoli gan PAU  

(Diofyn) 

Oes 

Nac oes 

Oes 

Llawn  

Gliniaduron staff safonol, cyfrifiaduron darlithfa, ac ati  

PAU Wedi'i Reoli'n Rhannol  

Nac oes 

Ad-hoc  

Oes 

Rhannol  

Dyfeisiau sy'n eiddo i PA lle rhoddir mynediad gweinyddol dros dro i staff i osod meddalwedd arbenigol  

PAU Hunan-Reoli 

Nac oes  

Oes 

Nac oes 

Dim  

Dyfeisiau staff arbenigol e.e., dyfeisiau Linux, neu ddyfeisiau ymchwil gyda gofynion meddalwedd arbenigol  

Labordai Addysgu  

Nac oes 

Oes 

Nac oes 

Dim  

Dyfeisiau Raspberry Pi, robotiaid, ac ati  

PAU Offeryniaeth – Wedi'i reoli  

Oes  

Oes 

Nac oes 

Rhannol  

Dyfeisiau sy'n gysylltiedig ag offer sy'n rhedeg systemau gweithredu a meddalwedd cyfredol a gefnogir  

PAU Offeryniaeth – heb ei reoli  

Nac oes  

Oes  

Nac oes   

Dim  

Dyfeisiau sy'n gysylltiedig ag offer na allant redeg systemau gweithredu neu feddalwedd a gefnogir  

Ymchwil (Cydymffurfio â CE)  

Oes 

Ad-hoc  

Nac oes 

Rhannol  

Dyfeisiau nad ydynt yn cydymffurfio â pholisïau PA ond sydd angen cydymffurfiad Cyber Essentials. Rhaid asesu'r dyfeisiau hyn fesul achos.  

BYOD  

Nac oes  

Oes 

Nac oes  

Dim  

Dyfeisiau sy'n eiddo i staff, myfyrwyr