Cyfarfodydd

Eitem lafar

Rhoddodd Dave Tosh drosolwg o'r paratoadau cyfredol ar gyfer GDPR, a ddaw i rym ym mis Mai 2018. Roedd Meysydd Gwasanaeth yn gweithio ar eu cofrestrau data personol, gyda dyddiad cau ar gyfer diwedd Ionawr. Cynghorwyd penaethiaid i siarad â Sue Morgan ac Alison Bond os oedd unrhyw ansicrwydd ynghylch cadw, caniatâd neu gydsyniad.

Roedd gwaith yn mynd rhagddo i addasu canllawiau i Aelodau a byddai'r gofynion tebygol yn cael eu rhoi iddynt hwy yn y lle cyntaf.

CAMAU I’W CYMRYD:

·                Penaethiaid i gynorthwyo eu timau lle roedd angen penderfyniadau ar eu cofrestrau data personol. Alison Bond i egluro'r meysydd lle roedd bylchau o hyd mewn data neu resymu.

·                Matthew Richards i ddosbarthu'r canllawiau a baratowyd ar gyfer y Gwasanaethau Cyfreithiol.

Cyflwyniad

Croesawodd y Bwrdd Drew Evans a Paul Peters i’r cyfarfod.

Eglurodd Drew wrth y Bwrdd fod 6 miliwn o gyfrifon defnyddwyr ledled y byd wedi cael eu torri  ym mis Ionawr 2017 yn unig, a bod y bygythiad mwyaf i ddiogelwch seiber sefydliad o’r tu mewn yn aml iawn, felly, codi ymwybyddiaeth ymhlith y staff yw’r ffordd fwyaf effeithiol o’n hamddiffyn. Rhoddwyd gwybod i aelodau’r Bwrdd am yr effaith y gallai unrhyw ddigwyddiad seiber posibl, sy’n amrywio o golli data hyd at amharu ar fusnes ar raddfa eang ei chael ar sefydliad. Yn ogystal, gallai fod effeithiau tymor hwy ar ein henw da ac ar hyder rhanddeiliaid.

Ers mis Medi diwethaf, cynhaliwyd ymarferiad sicrwydd eang i adolygu cadernid y Cynulliad yn erbyn unrhyw fygythiad seiber posibl. Er bod camau wedi’u cymryd i leihau’r risg o ymosodiad seiber, ail-bwysleisiodd Drew pa mor bwysig ydyw i wella ymwybyddiaeth staff o ran mynd i’r afael ag unrhyw fygythiad.

Rhoddodd Drew wybod i’r Bwrdd am yr Wythnos Ymwybyddiaeth Seiber Ddiogelwch sy’n digwydd rhwng 6 a 9 Mawrth. Bydd y sesiynau hyn a drefnir, ar gyfer staff yn bennaf, yn cynnwys fideos codi ymwybyddiaeth byr ynghyd â chyfle i ofyn cwestiynau wedyn. Teimlir, o ystyried pwysigrwydd y pwnc, y dylai fod yn orfodol i staff fynychu’r sesiynau hyn.

Cyflwynwyd aelodau’r Bwrdd i’r Ditectif Arolygydd Paul Peters, o TARIAN, a roddodd yr ail gyflwyniad ar godi ymwybyddiaeth. Nodwyd enghreifftiau gan Paul o rai o’r bygythiadau a berir i sefydliadau drwy ddefnyddio peirianneg cymdeithasol, negeseuon e-bost gwe-rwydo, bygythiadau meddalwedd wystlo ac ymosodiadau DDOS (Distributed Denial of Service).

CAMAU GWEITHREDU: Cytunodd y Bwrdd Rheoli i sicrhau y bydd presenoldeb mewn sesiwn ymwybyddiaeth yn orfodol i’r holl staff. Gofynnwyd i Benaethiaid Gwasanaethau annog eu staff yn frwd i fynd i’r sesiynau a gaiff  eu cynnal rhwng 6 a 9 Mawrth.

Croesawyd Alison Bond i’r cyfarfod i gyflwyno fideo byr a thrafodaeth ar faterion gwybodaeth a diogelwch seiber allweddol, maes sydd o bwysigrwydd cynyddol o ran rheoli a diogelu gwybodaeth y Cynulliad a maes y mae’r Pwyllgor Archwilio a Sicrwydd Risg wedi gofyn am waith craffu arno.

Mae’r Cynulliad, fel y rhan fwyaf o sefydliadau, yn ddibynnol dros ben ar ei gwybodaeth a’i systemau, ond, gyda nifer yr ymosodiadau a’r mathau o ymosodiadau bygythiol ar wybodaeth yn cynyddu, roedd y risgiau posibl i enw da, hyder, amhariadau a chydymffurfio yn niferus. Rhoddwyd gwybod i’r Bwrdd bod cyfyngu ar fynediad at wybodaeth a diogelu asedau gwybodaeth yn ganolog i ddiogelwch seiber.

Cydnabuwyd, yn gyffredinol, bod y Cynulliad yn ymwybodol iawn o ddiogelwch, a bod ganddo lawer o ddulliau a rheolaethau ar waith yn hyn o beth. Roedd yn bwysig, fodd bynnag, i atgoffa staff am ddiogelwch negeseuon e-bost a’r defnydd o gyfrifiaduron a’r rhwydwaith, gan gynnwys storio papurau cyfyngedig cyn eu dinistrio ac yn ystod y broses o’u gwaredu.

Amlinellodd Alison y canllawiau o ran negeseuon e-bost maleisus a’r ffaith y gall y negeseuon hyn ymddangos yn soffistigedig iawn, sy’n golygu bod angen gwyliadwriaeth gyson. Roedd neges hefyd yn cael ei hanfon at Aelodau a’u staff mewn perthynas â diogelwch negeseuon e-bost, cyfrifiaduron a’r rhwydwaith. Bu’r Bwrdd yn trafod bygythiadau eraill, a sut i liniaru’r risgiau, drwy ymwybyddiaeth defnyddwyr, bod yn ofalus o asedau, asesu a rheoli risgiau a bod yn wyliadwrus. Dywedodd Alison fod yr asesiad o effaith ar breifatrwydd wedi bod yn un dwys iawn o ran defnydd y Cynulliad o wasanaethau cwmwl.

Byddai Alison yn ysgrifennu at y Penaethiaid Gwasanaethau i ofyn iddynt gynnal ymarferiad, yn eu rolau fel Perchnogion Asedau Gwybodaeth, i nodi a phrofi cadernid eu rheolaethau mewn cysylltiad â’u hasedau pwysicaf a mwyaf sensitif.

Amlinellodd Dave Tosh ddiben y fframwaith, sef dwyn ynghyd y cyfrifoldebau, strwythurau, polisïau, canllawiau gweithdrefnol a'r prosesau llywodraethu sydd eu hangen i reoli gwybodaeth y Cynulliad.

Mae'r Pwyllgor Archwilio a Sicrwydd Risg wedi adolygu'r fframwaith ac roedd yn fodlon arno. Cytunodd y Bwrdd Rheoli ei fod yn glir ac yn hygyrch, ond byddai'n ddefnyddiol i gynnwys cwestiynau cyffredin i gynorthwyo pobl i'w ddeall ac i egluro'r amserlenni ar gyfer er roi ar waith.

Trafododd y Bwrdd y cynlluniau ar gyfer codi ymwybyddiaeth ymysg staff. Bydd Alison Rutherford (Rheolwr Llywodraethu Gwybodaeth) yn cwrdd â Phenaethiaid a gweithio gyda thimau er mwyn eu helpu i fabwysiadu'r gofynion a'u rhoi ar waith. Dywedodd Elisabeth Jones y gallai Sue Morgan a Jon Tomkinson (Cynghorwyr Cyfreithiol) gynorthwyo gyda'r gwaith hwn. Dywedodd Dave Tosh hefyd fod Jan Koziel (Pennaeth Caffael) yn cynnwys gofynion llywodraethu gwybodaeth yn nhelerau ac amodau contractwyr i'r Cynulliad.

Camau i’w cymryd: Aelodau'r Bwrdd Rheoli i godi unrhyw bryderon penodol gyda Alison Rutherford fel y gall hi fod o gymorth.