Canllaw i Ddefnyddwyr a Chyfrifoldebau
-
- Rhan o:
- Canolfan Cymeradwyo
Cynulleidfa a awgrymir: dysgwyr, staff ysgolion, hyrwyddwyr digidol ysgolion, gweinyddwyr Hwb awdurdodau lleol, gweinyddwyr Hwb consortia addysg rhanbarthol.
Trosolwg
Mae’r canllaw a baratowyd yn un generig o ran natur ond mae’n adlewyrchu’r defnydd a wneir gan ysgolion nodweddiadol yn seiliedig ar wybodaeth gan randdeiliaid, gan gynnwys athrawon, staff cymorth ac awdurdodau lleol.
Cyngor Cyffredinol
Dylai pob defnyddiwr ddilyn rheolau diogelwch sylfaenol cyffredinol; maent fel arfer yn gymwys i unrhyw system TG ac maent yn cynnwys:
- Peidio â gadael i neb arall ddefnyddio eich cyfrif Hwb
- Peidio â defnyddio cyfrif Hwb rhywun arall
- Peidio â chreu cyfrifon generig / a rennir
- Dilyn canllawiau cyfrineiriau da (gweler Canllaw Diogelwch Hwb)
- Byddwch yn ofalus wrth ddefnyddio eich cyfrif Hwb mewn man cyhoeddus – gwnewch yn siŵr na all neb weld yr hyn rydych yn ei wneud, yn enwedig wrth deipio eich cyfrinair
- Peidiwch â defnyddio eich cyfrif Hwb i ddibenion heblaw busnes addysg
- Gwiriwch fod manylion derbynwyr negeseuon e-bost yn gywir cyn eu hanfon
- Rhowch wybod os oes gennych bryderon am ddefnydd amhriodol – dylid dilyn gweithdrefnau lleol yn ôl yr angen
- Dylech osgoi defnyddio dyfeisiadau / systemau cyhoeddus, a rennir neu bersonol ar gyfer data sensitif neu bersonol
Bydd y defnydd o ddyfeisiadau personol, y cyfeirir ato’n aml fel ‘Dewch â’ch Dyfais eich Hun’ (BYOD), bron yn siŵr o olygu risgiau i’r wybodaeth a brosesir arnynt; penderfyniad rheoli risg pob sefydliad fydd hwn.
Mae’r ICO wedi cyhoeddi canllaw penodol yn achos BYOD a diogelu data.
Nid yw Hwb ar hyn o bryd wedi’i ffurfweddu i reoli na gwirio’r dyfeisiadau sy’n defnyddio Hwb, yn hytrach dibynnir ar ddefnyddwyr i ddilyn y polisïau lleol sy’n berthnasol iddynt.
Diogelwch Gwybodaeth
Nod diogelwch gwybodaeth yw gwarchod y nodweddion canlynol:
- Cyfrinachedd – sicrhau bod gwybodaeth yn parhau’n gyfrinachol
- Uniondeb – sicrhau cywirdeb gwybodaeth
- Argaeledd – sicrhau bod modd cael mynediad at wybodaeth pan fydd angen
Yn ychwanegol at y priodoleddau allweddol hyn, bydd sefyllfaoedd lle bydd nodweddion eraill yn bwysig, er enghraifft, atebolrwydd, dim ymwrthodiad a dibynadwyedd.
Data Personol
Data personol yw data sy’n galluogi adnabod unigolion. Mae’r Rheoliad Cyffredinol ar Ddiogelu Data (GDPR) yn diffinio’r gofynion cyfreithiol sy’n weithredol wrth ddefnyddio data personol.
Cafodd Deddf Diogelu Data’r DU ei diwygio yn 2018 ac mae’n ymgorffori gofynion y GDPR yng nghyfraith y DU.
Mae’r diffiniad diwygiedig o ddata personol wedi’i gynnwys yn yr Hysbysiad Preifatrwydd.
Mae’r rhagofalon y dylid eu cymryd yn gymwys pa bynnag fath o gyfrwng a ddefnyddir. Er enghraifft, efallai y bydd angen mesurau diogelwch yn achos pob un o’r canlynol os ydynt yn cynnwys data personol:
- negeseuon e-bost
- ffotograffau
- dogfennau electronig
- nodiadau wedi’u hysgrifennu â llaw
Mae’r canllaw hwn wedi’i gyfyngu i reolaethau sy’n berthnasol i fformatau data electronig, os yw gwybodaeth yn cael ei hargraffu bydd yr angen i’w diogelu yn parhau, dylai gweithdrefnau gyfateb i’r rhai hynny sy’n gymwys i ddogfennau electronig.
Mae Swyddfa’r Comisiynydd Gwybodaeth (ICO) yn cyhoeddi canllawiau a chodau ymarfer sy’n berthnasol i ddiogelu data a data personol ar eu gwefan.
Hanfodion Hwb
Mae Hwb wedi’i greu’n benodol i storio cynnwys addysgol y gellir ei rannu ag unrhyw rai o ddefnyddwyr eraill Hwb.
Mae gan Hwb reolaethau safonol diofyn, felly mae’n addas ar gyfer y data personol sylfaenol sydd ei angen ar gyfer defnydd o ddydd i ddydd o’r system.
Mae rheolaethau uwch ar gael. Am ragor o wybodaeth ewch i Rheolaethau Diogelwch.
Porth Rheoli Defnyddwyr (UMP)
Mae’r Porth yn ddatrysiad pwrpasol sy’n rhoi mynediad i ddefnyddwyr Hwb at gyfleusterau rheoli cyfrifon.
I fwyafrif y defnyddwyr bydd y rheolaethau safonol yn y Porth yn ddigonol ond ar gyfer rhai lefelau mynediad, mae rheolaethau uwch yn cael eu hargymell neu efallai byddant yn ofynnol.
Google Workspace for Education Fundamentals ac Office 365
Mae Hwb yn rhoi mynediad at Google Workspace for Education Fundamentals ac at Microsoft Office 365. Mae’r ddau wasanaeth yn cynnwys ystod o reolaethau sy’n addas i brosesu data personol a gwybodaeth SWYDDOGOL, sy’n golygu mai’r rhain yw’r gwasanaethau Hwb mwyaf priodol i weithio arnynt ac i storio data o’r fath.
Mae crynodeb o’r wybodaeth lywodraethu sylfaenol berthnasol sy’n gymwys i Google Workspace for Education Fundamentals ac Office 365, fel cânt eu rheoli gan Google a Microsoft yn y drefn honno, wedi’i gynnwys yn Cydymffurfiaeth Data.
Yn achos y rhan fwyaf o ddefnyddwyr Hwb bydd y ffurfwedd ddiofyn ar gyfer Google Workspace for Education Fundamentals ac Office 365 yn rhoi diogelwch priodol ar gyfer yr wybodaeth mae ganddynt fynediad ati.
Pan fydd defnyddwyr Hwb yn cael mynediad at neu’n cyfnewid gwybodaeth sensitif efallai y bydd angen lefel ddiogelwch uwch; felly mae rheolaethau ychwanegol dewisol ar gael.
-
Office 365 yw’r system e-bost a ddarperir ar gyfer pob un o ddefnyddwyr Hwb (rhaid i ddysgwyr gael cydsyniad). Mae’n system e-bost sy’n seiliedig ar safonau sy’n elwa ar nifer o opsiynau ffurfweddu sy’n gallu rhoi diogelwch cadarn.
Mae ffurfwedd ddiofyn Office 365 yn cynnig ffordd ddiogel o anfon negeseuon e-bost rhwng defnyddwyr Hwb yn ogystal â rhai sefydliadau partner. Dyma ddolen i'r rhestr gyfredol o sefydliadau partner; Parthau Dibynadwy.
Mae’r rhestr o sefydliadau partner wedi’i ffurfweddu i dderbyn e-bost diogel gan Hwb wedi’i llunio mewn cydweithrediad ag awdurdodau lleol a chonsortia addysg rhanbarthol.
! Nes bydd sefydliad partner wedi’i ddilysu dylid tybio na fydd negeseuon e-bost yn ddiogel ac y dylid ystyried rheolaethau uwch.
Mae Office 365 yn cynnwys opsiynau ychwanegol ar gyfer amgryptio e-bost sensitif. Dylid gofyn i’ch pennaeth neu i swyddog diogelwch gwybodaeth yr awdurdod lleol am arweiniad pellach yn ôl yr angen. Am ragor o wybodaeth ewch i Rheolaethau Diogelwch.
Mae’r siart llif canlynol yn dangos ar ffurf graffeg y broses benderfynu a argymhellir i benderfynu ar y dull amgryptio priodol ar gyfer negeseuon e-bost sy’n cynnwys data personol a gellir defnyddio proses debyg yn achos data sensitif arall.
-
Mae G Suite for Education ac Office 365 ill dau’n cynnwys opsiynau ar gyfer cydweithio:
G Suite for Education:
- Classroom
- Team Drives
- Sites
Office 365:
- Teams
- Groups
- SharePoint
(mae’n cynnwys cyfeiriadur a nodweddion safle)
Gyda chymaint o ddefnyddwyr posibl â mynediad at fannau gweithio a rennir, dylid bod yn ofalus wrth storio data sensitif yn y mannau hyn.
Gellir ffurfweddu mannau penodol ar gyfer cydweithio diogel â data sensitif i helpu i sicrhau:
- bod mynediad wedi’i gyfyngu i’r sawl sydd angen gwybod yr wybodaeth
diogelwch uwch ar gyfer dogfennau i leihau’r perygl o ryddhau gwybodaeth ar ddamwain
Am ragor o wybodaeth ewch i Rheolaethau Diogelwch.
Noder: Gall y lefel ddiogelwch uwch ar gyfer dogfennau olygu y bydd angen defnyddio’r fersiwn bwrdd gwaith o Microsoft Office i greu a golygu dogfennau.
I staff sydd â mynediad rheolaidd at y data mwyaf sensitif mae rheolaethau diogelwch ychwanegol ar gael a dylid ystyried eu defnyddio (i helpu i rwystro ymosodiadau ar gyfrineiriau)
-
Mae Hwb yn rhoi defnydd o Google Drive a Microsoft OneDrive i bob defnyddiwr.
Nodyn: Mae diogelwch cyfrineiriau ar gael yn y fersiynau bwrdd gwaith o Microsoft Office.
Gall diogelwch cyfrineiriau ffeiliau unigol sy’n cynnwys data sensitif fod yn ffordd effeithiol o sicrhau mai dim ond y rhai â’r cyfrinair all weld y cynnwys os yw cyfrinachedd yn fater o bwys.
Mewn sefyllfaoedd o’r fath dylid gofyn am gyngor ar gymhlethdod, hyd a dosbarthiad cyfrineiriau. Mae arweiniad ar gyfrineiriau ar gael isod.
Canllaw Diogelwch Hwb
Cyfrineiriau
Yn achos systemau TG, ac yn enwedig gwasanaethau cwmwl fel Office 365 a G Suite for Education, mae cyfrineiriau’n anghyfleuster angenrheidiol ac mae’n debyg mai felly y bydd hi cyn bellach ag y gallwn ragweld. Cyfrineiriau yw’r opsiwn mwyaf priodol ar hyn o bryd i sicrhau mai chi’n unig all gael mynediad i’ch cyfrif.
Mewn ymdrech i’w gwneud yn haws i ddefnyddwyr Hwb i reoli eu cyfrineiriau, mae Platfform Hwb wedi’i ddylunio mewn ffordd sy’n golygu mai dim ond un cyfrinair fydd ei angen arnoch i gael mynediad i’r platfform. Gelwir hyn yn Gofrestru Untro neu SSO.
Un o beryglon bod ag un cyfrinair yn unig i gael mynediad i amryw o systemau yw os bydd rhywun yn cael gafael ar eich cyfrinair yna mae perygl y byddant yn cael mynediad at ystod eang o wybodaeth. Oherwydd hyn, mae’n bwysig deall yr hyn y gallwch ei wneud i sicrhau nad yw eich cyfrinair mewn perygl.
Nod y canllaw hwn yw eich helpu i gadw eich cyfrif Hwb yn ddiogel, ond mae'r un mor berthnasol yn achos cyfrineiriau yr ydych yn eu defnyddio gyda’ch cyfrifon personol, fel bancio ar-lein, er enghraifft.
-
Mae llawer o nodweddion dymunol ar gyfer cyfrineiriau, ond bydd y canllaw hwn yn canolbwyntio’n bennaf ar y nodweddion sy'n effeithiol i atal hacwyr. Byddai cyfrinair effeithiol yn:
- Unigryw
- Yn anodd ei ddyfalu
Mae nodweddion dymunol eraill cyfrineiriau weithiau’n gallu mynd yn groes i’r rhain, er enghraifft yn ddelfrydol byddai cyfrinair yn hawdd i’w gofio, ond mae hyn yn aml yn golygu y byddant yn hawdd i’w dyfalu neu nid ydynt yn unigryw (mae opsiwn arall heblaw am gyfrineiriau hawdd eu cofio yn cael eu hargymell isod).
-
Mae gan hacwyr ddwy brif ffordd o geisio cael gafael ar gyfrineiriau:
- Hacio systemau cyfrineiriau
Os yw gwefan yn cael ei hacio, efallai y bydd yr hacwyr yn gallu cael mynediad at y system gyfrineiriau a chopïo’r holl gyfrineiriau a ddefnyddir ar y safle. Gallant ddefnyddio’r cyfrineiriau hyn wedyn i feddiannu cyfrifon unigol. - Ymosodiadau gwe-rwydo
Bydd ymosodiadau gwe-rwydo fel arfer yn dwyn un cyfrinair ar y tro, ond nid oes yn rhaid hacio i’r system yn gyntaf i wneud hyn.
Os yw hacwyr yn gallu paru cyfrinair gyda’ch hunaniaeth, er enghraifft drwy eich cyfeiriad e-bost cofrestredig neu enw defnyddiwr, byddant yn ceisio defnyddio’r cyfrinair i gael mynediad i systemau eraill. Er enghraifft, os yw eich cyfrinair cyfryngau cymdeithasol yr un fath â’ch cyfrinair bancio ar-lein a bod haciwr yn cael gafael ar y cyfrineiriau a ddefnyddir ar gyfryngau cymdeithasol yna efallai y byddant yn gallu cael i mewn i’ch cyfrif bancio ar-lein hefyd.
Er na fydd cael cyfrineiriau unigryw yn helpu i atal ymosodiad cyntaf rhag llwyddo, bydd yn atal ymosodiadau dilynol yn erbyn systemau eraill rydych yn eu defnyddio.
- Hacio systemau cyfrineiriau
-
Mae rhai achosion o hacio yn digwydd pan fydd rhywun yn ceisio cael mynediad i gyfrif drwy ddyfalu cyfrineiriau, a gan amlaf bydd ymosodiad o’r fath yn digwydd os oes gan hacwyr restr o gyfrineiriau y gallant eu defnyddio mewn ymosodiadau awtomataidd. Gall y rhestrau fod yn seiliedig ar gyfuniadau o’r wybodaeth ganlynol:
- Patrymau ar allweddell, er enghraifft ‘1q2w3e4r’
- Cyfrineiriau cyffredin a gafwyd o systemau sydd wedi’u hacio, er enghraifft ‘sunshine’
- Enwau chwaraeon, ffilmiau, cantorion neu themâu poblogaidd eraill
Mae gan y rhan fwyaf o systemau, gan gynnwys Hwb, reolaethau i arafu ymosodiadau ar-lein sy’n ceisio dyfalu cyfrineiriau, ond nid oes modd cael gwared arnynt yn gyfan gwbl.
-
Un o nodweddion dymunol cyfrineiriau yw eu bod yn hawdd i’w cofio, ond i’r rhan fwyaf o bobl nid yw hyn yn ymarferol heb naill ai:
- Dewis geiriau cyffredin fel cyfrineiriau
- Ailgylchu cyfrineiriau ar draws systemau
- Defnyddio fformat y gellir ei ailadrodd a’i ragweld
Ni fydd dim o’r opsiynau uchod yn creu cyfrinair y gellir dibynnu arno i wrthsefyll ymosodiadau gan hacwyr.
Os ydych chi’n cael trafferth cofio cyfrineiriau, dewis arall yw defnyddio rheolwr cyfrineiriau. Dyma raglen sy’n storio eich holl gyfrineiriau fel na fydd yn rhaid i chi eu cofio. Mae defnyddio rheolwr cyfrineiriau’n golygu y gallwch:
- Ddefnyddio cyfrineiriau sy’n amhosibl i’w dyfalu a fydd yn gallu gwrthsefyll ymosodiadau hacwyr
- Cyfrinair gwahanol ar gyfer pob safle lle’r ydych yn cofrestru cyfrif
Yn aml mae modd defnyddio rheolwyr cyfrineiriau ar draws dyfeisiadau a chadw copi wrth gefn ar-lein rhag ofn y bydd un peth yn methu.
Argymhellir yn gryf eich bod yn defnyddio rheolwr cyfrineiriau.