Datganiad Polisi ar Ddiogelu Gwybodaeth
Cynnwys
Diben y polisi
Cwmpas/Cymhwysedd
Cyfrifoldebau
Polisi manwl
Deddfwriaeth gysylltiedig
Rhestr o Is-bolisïau a pholisïau a gweithdrefnau cysylltiedig
1. Diben
1.1 Mae gwybodaeth yn ased hanfodol i unrhyw sefydliad ac mae hyn yn arbennig o wir mewn amgylchedd sy’n cael ei gyrru gan wybodaeth fel Prifysgol Aberystwyth, lle bydd gwybodaeth yn ymwneud â dysgu ac addysgu, ymchwil, gweinyddu a rheoli. Mae’r polisi hwn yn ymwneud â rheoli a diogelwch asedau gwybodaeth y Brifysgol (diffinnir ased gwybodaeth fel eitem neu gorff o wybodaeth, system storio gwybodaeth neu system prosesu gwybodaeth sydd o werth i’r Brifysgol) a’r defnydd a wneir o’r asedau hyn gan ei haelodau ac eraill a allai brosesu gwybodaeth y Brifysgol yn gyfreithlon ar ran y Brifysgol.
1.2 Mae’r ddogfen polisi gyffredinol hon yn cynnwys trosolwg o ddiogelwch gwybodaeth ac yn rhestru set o ddogfennau polisi (is-bolisïau) sydd, gyda’i gilydd, yn ffurfio Polisi Diogelwch Gwybodaeth y Brifysgol.
1.3 Mae Polisi Diogelwch Gwybodaeth effeithiol yn cynnig sail gadarn ar gyfer diffinio a rheoleiddio’r modd y caiff systemau gwybodaeth ac asedau gwybodaeth eraill eu rheoli. Mae hyn yn angenrheidiol i sicrhau bod gwybodaeth yn cael ei diogelu’n briodol yn erbyn effeithiau niweidiol unrhyw fethiant o ran cyfrinachedd, gonestrwydd, argaeledd a chydymffurfiaeth a fyddai’n codi oni bai am hynny.
2. Cwmpas/Cymhwysedd
2.1 Mae’r dogfennau yn y set Polisi Diogelwch Gwybodaeth yn gymwys i’r holl asedau gwybodaeth sydd ym meddiant y Brifysgol, a ddefnyddir gan y Brifysgol at ei dibenion, neu sy’n gysylltiedig ag unrhyw rwydweithiau a reolir gan y Brifysgol.
2.2 Mae’r dogfennau yn y set Polisi Diogelwch Gwybodaeth yn gymwys i’r holl wybodaeth y mae’r Brifysgol yn ei phrosesu, beth bynnag eu perchnogaeth neu ffurf.
2.3 Mae’r dogfennau yn y set Polisi Diogelwch Gwybodaeth yn gymwys i holl staff presennol, myfyrwyr presennol, aelodau’r Cyngor a phwyllgorau, staff sy’n ymweld ac unrhyw rai eraill a allai brosesu gwybodaeth ar ran y Brifysgol neu sydd â mynediad cyfreithlon i systemau’r Brifysgol.
2.4 Bydd cydymffurfiaeth â’r Polisi’n rhan o’r contract cyflogaeth, yn amod Cofrestriad Myfyriwr ac yn rhan o’r broses sy’n caniatáu mynediad i eraill at y cyfleusterau.
2.5 Mae’r Polisi Diogelwch Gwybodaeth a’r is-bolisïau’n cael blaenoriaeth dros bolisïau a gweithdrefnau eraill y Gwasanaethau Gwybodaeth pe bai unrhyw wrthddweud neu ddiffyg eglurder.
3. Llywodraethu Polisi
3.1 Mae cyfrifoldeb am gynhyrchu, cynnal a chyfathrebu’r ddogfen polisi lefel uchaf hon a’r holl ddogfennau is-bolisi’n gorwedd gyda Chyfarwyddwr y Gwasanaethau Gwybodaeth.
3.2 Mae’r ddogfen Polisi Diogelwch Gwybodaeth gyffredinol hon wedi’i chymeradwyo gan Grŵp Cynghori ar Strategaeth Ddigidol y Brifysgol a rhaid cael cymeradwyaeth bellach gan y Grŵp Cynghori ar Strategaeth Ddigidol cyn y gellir gwneud unrhyw newid sylweddol. Caiff cyfrifoldeb am gymeradwyo’r holl ddogfennau is-bolisi ei ddirprwyo i’r Gweithgor Diogelwch Gwybodaeth (InfoSec).
3.3 Bydd pob un o’r dogfennau sy’n ffurfio’r Polisi Diogelwch Gwybodaeth yn cael ei hadolygu’n flynyddol. Cyfrifoldeb Cyfarwyddwr y Gwasanaethau Gwybodaeth yw sicrhau bod yr adolygiadau hyn yn digwydd. Cyfrifoldeb Cyfarwyddwr y Gwasanaethau Gwybodaeth hefyd yw sicrhau bod y set polisi’n parhau’n gyson yn fewnol.
3.4 Gall unrhyw aelod o staff gynnig newidiadau neu ychwanegiadau i’r Polisi Diogelwch Gwybodaeth drwy eu Pennaeth Adran, i Gyfarwyddwr y Gwasanaethau Gwybodaeth.
3.5 Caiff unrhyw newidiadau sylweddol i unrhyw rai o’r dogfennau yn y set eu cyfleu i’r holl staff, myfyrwyr neu ddefnyddwyr eraill perthnasol.
4. Strwythur
4.1.1 Mae set dogfennau’r Polisi Diogelwch Gwybodaeth, pan fo’n ymarferol, wedi’i strwythuro yn unol â’r argymhellion yn y “Pecyn Cymorth Diogelwch Gwybodaeth UCISA” (Mawrth 2015) sydd yn ei dro’n yn adlewyrchu canllawiau a nodir yn safon y diwydiant ISO 27001.
4.1.2 Mae’r ddogfen Polisi Diogelwch Gwybodaeth gyffredinol hon yn rhestru set o ddogfennau is-bolisi eraill sydd, gyda’i gilydd, yn ffurfio Polisi Diogelwch Gwybodaeth y Brifysgol. Mae statws cyfwerth i bob un o’r polisïau hyn. Er y dylai’r set polisi fod yn gyson yn fewnol, er mwyn arbed unrhyw amheuaeth, os ceir unrhyw anghysondeb rhwng y polisi trosfwaol hwn ac unrhyw is-bolisïau, y polisi trosfwaol hwn fydd drechaf.
4.1.3 Mae pob un o’r dogfennau is-bolisi’n cynnwys disgrifiadau o ofynion ac egwyddorion. Nid ydynt ym mhob achos yn cynnwys disgrifiadau manwl o weithrediad y polisi. Lle bo angen, caiff manylion o’r fath eu cyflenwi ar ffurf dogfennau trefniadol ar wahân.
4.2 Egwyddorion Diogelwch Gwybodaeth
4.2.1 Mae’r egwyddorion canlynol yn ffurfio sail ar gyfer y polisi hwn:
i. Caiff gwybodaeth ei diogelu’n unol â holl bolisïau’r Brifysgol a deddfwriaeth berthnasol, yn enwedig y rheini sy’n ymwneud â diogelu data, hawliau dynol a rhyddid gwybodaeth.
ii. Cyfrifoldeb pob unigolyn yw bod yn ymwybodol o’r angen am Ddiogelwch Gwybodaeth ar draws y sefydliad a bod yn ymwybodol o bolisïau a gweithdrefnau perthnasol.
iii. Lle bo’n briodol, bydd gan bob ased gwybodaeth berchennog enwebedig fydd yn derbyn cyfrifoldeb am ddiffinio defnydd priodol o’r ased a sicrhau bod mesurau diogelwch priodol yn weithredol i ddiogelu’r ased.
iv. Bydd gwybodaeth ar gael i’r rheini sydd ag angen dilys am fynediad ati yn unig.
v. Lle bo angen ac yn briodol caiff gwybodaeth ei dosbarthu yn ôl lefel diogelwch.
vi. Caiff unplygrwydd yr wybodaeth ei gadw.
vii. Mae’n gyfrifoldeb ar bob unigolyn sydd wedi derbyn mynediad at wybodaeth i’w thrin yn briodol yn unol â’i dosbarthiad.
viii. Caiff gwybodaeth ei diogelu rhag mynediad heb awdurdod.
ix. Caiff cydymffurfiaeth â’r Polisi Diogelwch Gwybodaeth ei orfodi.
5. Deddfwriaeth Gysylltiedig
Rheoliad Diogelu Data Cyffredinol (GDPR y DU)
Deddf Diogelu Data 2018
Deddf Rhyddid Gwybodaeth 2000
Deddf Rheoleiddio Pwerau Ymchwilio (RIPA) 2000
Deddf Hawlfraint, Dyluniadau a Phatentau 1988
Deddf Camddefnyddio Cyfrifiaduron 1990
Deddf Hawliau Dynol 1998
Deddf Cydraddoldeb 2010
Deddf Terfysgaeth 2006
Deddf Cyfyngiadau 1980
Deddf Cyfrinachau Swyddogol 1989
Deddf Cyfathrebu Maleisus 1988
Deddf yr Economi Ddigidol 2010
Rheoliadau Preifatrwydd a Chyfathrebu Electronig (Cyfarwyddeb y CE) (Diwygio) 2011
Deddf yr Heddlu a Chyfiawnder 2006
Deddf Gwrthderfysgaeth a Diogelwch 2015
6. Rhestr o is-bolisïau a pholisïau cysylltiedig
Diweddarir y Rheoliadau hyn gan y Gwasanaethau Gwybodaeth. Fe’u hadolygwyd ddiwethaf ym mis Mawrth 2024 a byddant yn cael eu hadolygu eto ym mis Gorffennaf 2025