English

Hwb

Rheolaethau Diogelwch

Cynulleidfa a awgrymir: Hyrwyddwyr digidol ysgolion, Cydlynwyr TGCh, Rheolwyr Rhwydweithiau, timau technegol awdurdodau lleol.

Mae’r ddogfen hon yn disgrifio’r rheolaethau sydd ar gael ar gyfer ystod y pecynnau digidol ym Mhlatfform Hwb a sut y gellir defnyddio’r pecynnau hyn i alluogi sefydliadau i sicrhau diogelwch yr wybodaeth a ddefnyddir ganddynt.


Mae Dosbarthiadau Diogelwch y Llywodraeth ar dair lefel: SWYDDOGOL, CYFRINACHOL a THRA CHYFRINACHOL.

Diffinnir y lefelau fel a ganlyn:

Y rhan fwyaf o’r wybodaeth sy’n cael ei chreu neu ei phrosesu gan y sector cyhoeddus. Mae hyn yn cynnwys gweithrediadau busnes a gwasanaethau arferol, a gallai arwain at ganlyniadau niweidiol pe baent yn cael eu colli, eu dwyn neu eu cyhoeddi ar y cyfryngau, ond nid ydynt yn destun proffil uwch.

Gwybodaeth sensitif iawn sy’n cyfiawnhau mesurau diogelu uwch i warchod rhag bygythiadau gan rai penderfynol a galluog. Er enghraifft, lle byddai bygythiadau’n gallu achosi niwed difrifol i allu milwrol, cysylltiadau rhyngwladol neu ymchwiliadau i droseddau cyfundrefnol difrifol.

Gwybodaeth fwyaf sensitif Llywodraeth EM sy’n gofyn am y lefelau uchaf o ddiogelwch rhag y bygythiadau mwyaf difrifol. Er enghraifft, lle byddai bygythiadau’n gallu arwain at golli bywydau ar raddfa fawr neu fygythiad i ddiogelwch neu les economaidd y wlad neu genhedloedd cyfeillgar.

_______________

Bydd gwybodaeth a brosesir yn amgylchedd yr ysgol ar y lefel SWYDDOGOL. Yn achos data SWYDDOGOL, dylai rheolaethau diogelwch gwybodaeth:

  • warchod rhag peryglu bwriadol gan ymosodiad awtomataidd neu fanteisgar; a
  • cheisio canfod achos o beryglu gwirioneddol neu ymgais i beryglu ac ymateb iddo

Mae manylion llawn ar gael yn nogfennau cysylltiedig Swyddfa'r Cabinet.


Ar Hwb, cyfeirir at reolaethau diogelwch fel safonol ac uwch, a dim ond ar gyfer rhai agweddau ar Hwb y mae rheolaethau uwch ar gael.

Mae rheolaethau safonol yn addas ar gyfer y rhan fwyaf o ddefnyddwyr Hwb a bydd yn sicrhau diogelwch priodol ar gyfer data personol llai sensitif a gwybodaeth SWYDDOGOL.

Dewis Rheolaethau

Yn achos data personol bydd y penderfyniad ynglŷn â pha reolaethau i’w defnyddio’n cael ei wneud gan y rheolydd data (y pennaeth fydd y rheolydd data mewn ysgolion fel arfer).

Yn ychwanegol at y dull arfaethedig ar gyfer Hwb, mae cyngor ffurfiol ar gael ar wefan yr ICO i helpu rheolyddion data i benderfynu pa lefel rheolaeth sydd ei hangen.

Mae’r tabl canlynol yn dangos defnydd nodweddiadol; fodd bynnag, mae’n debygol y bydd rhesymau dilys dros wyro oddi wrth y model hwn yn ôl amgylchiadau penodol y sefydliad; bydd unrhyw wyriad o’r fath yn benderfyniad rheoli risg lleol.

Gweler y siartiau llif dethol rheolaeth sy’n berthnasol i bob agwedd ar Hwb am eglurhad pellach.

Sefyllfaoedd

Rheolaethau Safonol Hwb yn addas?

Rheolaethau Uwch Hwb yn addas?

Gwybodaeth gyffredinol am yr ysgol gan gynnwys data cyrhaeddiad gan y MIS (e.e. SIMS, Canolfan Athrawon), nad yw’n cynnwys gwybodaeth sensitif.

Ydynt

Ydynt

Gwybodaeth am ddisgyblion gan y MIS, er enghraifft i’w defnyddio ar dripiau ysgol. Noder: Os oes gwybodaeth feddygol sensitif wedi’i chynnwys, dylid ystyried diogelwch uwch.

Gall data AAA yn aml gynnwys gwybodaeth sensitif; dylid gwneud penderfyniad lleol sy’n seiliedig ar gyd-destun a chynnwys y data i benderfynu a ellir cyfiawnhau rheolaethau uwch.

Nid yw’n cael ei argymell

Ydynt - fe’u hargymhellir

Mae ymchwiliadau diogelwch plant yn dueddol o fod yn sensitif ac yn gofyn am gyfrinachedd; bydd hyn fel arfer yn gofyn am reolaethau uwch.

Nac ydynt

Ydynt – yn hanfodol


Nid yw e-bost yn ddiogel yn ddiofyn, yn ddamcaniaethol gall unrhyw un sydd â mynediad at e-bost wrth iddo deithio ar hyd y rhyngrwyd weld ei gynnwys. Mae cynnwys e-bost heb ei ddiogelu’n debyg i gerdyn post tra bydd ar ei ffordd drwy system ddanfon y post.

Mae’r diagram isod yn dangos taith syml e-bost heb ei amgryptio. Nid yw’n debygol y bydd rhywun â mynediad at y llwybr mae’r e-bost yn ei ddilyn ar hyd y rhyngrwyd yn gallu ei ddarllen, ond mae’n bosibl.  

Gellir defnyddio amgryptio i leihau’r perygl y bydd yr e-bost yn cael ei weld ar ei daith rhwng systemau e-bost.

Argymhellir fod unrhyw e-bost sy’n cynnwys data personol yn cael ei amgryptio. Bydd gwneud hynny’n sicrhau na fydd haciwr, boed yn lwcus neu’n glyfar, yn gallu darllen cynnwys yr e-bost ar ei daith ar hyd y rhyngrwyd. 

Mae sawl opsiwn gwahanol ar gyfer amgryptio e-bost, ac mae rhai’n haws i’w defnyddio na’i gilydd, er y dylai’r dewis o ddull amgryptio gael ei seilio’n bennaf ar sensitifrwydd yr e-bost. 

Mae tair ffordd o amgryptio e-bost ar gael yn Hwb: 

  • TLS Gorfodol 
  • Message Encryption Office 365 
  • S/MIME 

Mae’r tabl canlynol yn crynhoi sefyllfaoedd ac ystyriaethau defnydd posibl ar gyfer defnyddio pob un o’r dewisiadau sydd ar gael yn Hwb. 

Amgryptio E-bost

Sefyllfa defnydd

Ystyriaethau

TLS Gorfodol

Rheolaeth Safonol 

 

Argymhellir fel y lefel sylfaenol ar gyfer unrhyw e-bost sy’n cynnwys data personol

Dim angen i ddefnyddwyr wneud dim. 

Wedi’i ffurfweddu gan Dîm Hwb, OND ni fydd yn gweithio oni bai bod sefydliadau partner yn ei gefnogi

Message Encryption Office 365

 

Rheolaeth Uwch

 

Ar gyfer rhannu gwybodaeth sensitif gyda dosbarthiad cyfyngedig.

 

Mae’n addas ar gyfer negeseuon e-bost na ellir eu diogelu drwy ddefnyddio’r dewisiadau eraill, er enghraifft e-bost at rieni.

 

Mae gwahanol gyfyngiadau’n bosibl ar gyfer gwahanol lefelau o sensitifrwydd.

 

Gall helpu i leihau’r peryglon sy’n gysylltiedig â’r defnydd o ddyfeisiadau personol.

Bydd angen i dderbynwyr allanol heb gyfrif Microsoft alluogi HTML yn eu cleient e-bost. 

S/MIME 

Rheolaeth Uwch.

 

Yn addas ar gyfer yr wybodaeth fwyaf sensitif lle mae angen sicrwydd cadarn mai dim ond y derbynwyr a fwriadwyd fydd yn gallu gweld y cynnwys. 

Bydd angen tystysgrif S/MIME ar yr anfonwyr a’r derbynnydd /derbynwyr.

 

Nid yw Hwb wedi’i ffurfweddu ar hyn o bryd i ddefnyddio S/MIME gydag Outlook ar y we. Gellir defnyddio hwn gydag Outlook bwrdd gwaith yn unig.

 

Nid yw’n addas iawn ar gyfer dosbarthu i grwpiau mawr.

 

  • Mae amgryptio sy’n seiliedig ar TLS (yr un dull amgryptio sy’n cael ei ddefnyddio ar gyfer mynediad diogel i wefannau; yng nghyd-destun negeseuon e-bost cyfeirir ato’n aml fel STARTTLS) yn ddewisol ar gyfer gweinyddion e-bost sy’n cyfnewid negeseuon e-bost dros y rhyngrwyd.

    Mae’r diagram isod yn dangos cwmpas effeithiolrwydd TLS wrth ei ddefnyddio i gyfathrebu rhwng gweinyddion e-bost.  

    Ar ôl i e-bost gael ei anfon i weinydd e-bost y derbynnydd, dylid nodi fod amgryptio negeseuon wedi hynny’n ddibynnol ar unrhyw daith ymlaen a hefyd ar ffurfwedd ap e-bost y derbynnydd.

    Gall y rhan fwyaf o wasanaethau e-bost, fel Office 365 a Gmail, ddefnyddio TLS, ond nid yw pob gwasanaeth yn gallu ei ddefnyddio, felly ni ellir ei ffurfweddu fel gofyniad ar gyfer pob e-bost i ac oddi wrth Hwb, gan y byddai hynny’n atal rhai systemau e-bost rhag gallu anfon neu dderbyn negeseuon e-bost gan Hwb. 

    Fodd bynnag, gydag Office 365 mae modd gorfodi TLS mewn modd dethol; mae gwasanaeth e-bost Hwb wedi’i ffurfweddu i ganiatáu’r defnydd ymarferol ehangaf o TLS gorfodol. 

    Ffurfwedd Hwb 

    Mae Hwb wedi’i ffurfweddu i orfodi TLS ar gyfer pob e-bost sy’n cael eu hanfon a’u derbyn:

    Nid oes angen i ddefnyddwyr wneud dim, mae amgryptio’n cael ei roi ar waith yn dryloyw’n ôl rheolau sydd wedi’u rhag ddiffinio.

    Mae’r ffurfwedd ar gyfer TLS gorfodol ar Hwb yn cynnwys:

    • Gwirio cofnod DNS MX cyrchfan y parth
    • Cadarnhau bod y gweinydd post yn gydnaws â STARTTLS 
    • Creu rheol llif post Exchange Online sy’n datgan bod TLS ar gyfer pob e-bost yn seiliedig ar:
      • Parth 
        Mae hyn yn dweud wrth Office 365 pa negeseuon sy’n berthnasol i’r rheol. 
        Enghraifft ffurfwedd: hwbcymru.net 
      • Cyfeiriad gweinydd e-bost (o gofnod MX) 
        Mae hyn yn helpu i atal newidiadau maleisus i DNS o ganlyniad i e-bost yn cael ei ailgyfeirio i systemau sy’n cael eu rheoli gan hacwyr. Enghraifft ffurfwedd: protection.outlook.com 
      • Gofyniad am dystysgrif TLS a gyhoeddir gan CA
        Mae hyn yn helpu i sicrhau bod y gweinydd post yn cael ei ‘ddilysu’ mewn modd dibynadwy cyn bod yr e-bost yn cael ei anfon.

    Mae’r ffurfwedd yn un na all fethu, sy’n golygu os bydd yr amgryptio’n methu am unrhyw reswm, ni fydd yr e-bost yn cael ei anfon. 

  • Mae Message Encryption  Office 365 (OME) yn wasanaeth Microsoft sy’n benodol i Office 365, ac sydd wedi’i drwyddedu i holl ddefnyddwyr Hwb. 

    Mae OME yn defnyddio cyfuniad o amgryptio a rheoli hawliau i alluogi diogelwch sy’n aros gyda’r e-bost ar ôl iddo gael ei anfon. Mae hyn yn rhoi sicrwydd ychwanegol mai dim ond pobl mae wedi ei rhannu â hwy fydd yn cael mynediad at yr wybodaeth. 

    Mae Message Encryption OME wedi ei ffurfweddu i weithio’n awtomatig os yw defnyddiwr yn cynnwys y geiriau allweddol ‘secure mail’ neu ‘post diogel’ yn llinell destun yr e-bost.

  • Dylid ystyried defnyddio S/MIME gyda gwybodaeth fwy sensitif, yn enwedig os nad yw rheolaethau eraill, fel MFA, yn ymarferol. 

    Mae S/MIME yn gweithio drwy ddefnyddio tystysgrifau; mae un yn gyhoeddus ac mae un yn breifat. Mae’r dystysgrif gyhoeddus yn cael ei rhannu â phobl eraill a gellir ei defnyddio i amgryptio negeseuon. Bydd angen tystysgrif gyhoeddus rhywun arnoch os ydych chi am anfon negeseuon wedi’u hamgryptio â S/MIME atynt. 

    Defnyddir y dystysgrif breifat i ddatgloi negeseuon e-bost; rhaid cadw’r dystysgrif hon yn gyfrinachol. Ar ôl ei osod bydd yn cael ei ddiogelu gan feddalwedd y cyfrifiadur. Bydd angen storio unrhyw gopïau wrth gefn o’r dystysgrif breifat yn ddiogel.

    Y dystysgrif hon yw’r un sy’n sicrhau budd mwyaf S/MIME, byddai’n rhaid i haciwr gael mynediad at eich dyfais a’r dystysgrif breifat i allu gweld negeseuon e-bost wedi’u hamgryptio â S/MIME. 

    Os bydd haciwr yn dyfalu eich cyfrinair ac yn gallu mewngofnodi i Hwb, ond heb fynediad at eich dyfais, byddant yn gallu gweld eich e-bost, ond bydd unrhyw negeseuon sydd wedi’u hamgryptio â S/MIME yn parhau wedi’u hamgryptio ac ni all yr haciwr eu gweld. 

    Mae S/MIME yn opsiwn sydd ar gael i bob un o ddefnyddwyr Hwb. Bydd angen i ddefnyddiwr gael tystysgrif leol, y gellir ei ffurfweddu’n lleol ac ni fydd angen i dîm gweinyddol Hwb wneud dim newidiadau i Hwb. 

    Bydd e-bost wedi’i ddiogelu gyda S/MIME ar gael ar ddyfeisiadau sydd wedi’u ffurfweddu gyda’r tystysgrifau cyfatebol yn unig; os amharwyd ar flwch post o ddyfais arall, ni fydd modd cael mynediad at negeseuon e-bost S/MIME. 

    Nodiadau: 

    • Bydd angen eu tystysgrif eu hunain ar yr anfonwr a’r derbynnydd
    • Rhaid i ddefnyddwyr â gosodiad S/MIME ddewis amgryptio e-bost mewn Outlook (fel arall byddant yn cael eu hanfon yn y ffordd arferol)
  • Gwe-rwydo yw’r term a ddefnyddir ar gyfer negeseuon e-bost sy’n ceisio eich perswadio i rannu gwybodaeth sensitif, cyfrineiriau yn bennaf.

    Mae negeseuon e-bost gwe-rwydo fel arfer yn cymryd arnynt eu bod yn dod o ffynhonnell sy’n gyfarwydd i chi drwy ddefnyddio un neu ragor o’r triciau canlynol:

    • Ffugio cyfeiriad e-bost yr anfonwr
    • Copïo delweddau ac arddulliau e-bost dilys
    • Defnyddio negeseuon sy’n achos braw

    Roedd yn arfer bod yn hawdd adnabod e-bost gwe-rwydo gan eu bod yn cynnwys camgymeriadau sillafu neu wallau gramadegol; fodd bynnag, maent yn dod yn fwy a mwy soffistigedig.

    Bydd e-bost gwe-rwydo bron yn sicr o gynnwys atodiad neu ddolen y byddwch yn cael eich annog i’w defnyddio. Strategaeth sy’n dod yn fwy cyffredin yw creu copi o fewngofnodi Office 365 fel y bydd ymosodwr yn cael enw defnyddiwr a chyfrinair defnyddwyr esgeulus.

    Dylech fewngofnodi i Hwb o’ch ffefrynnau neu drwy deipio URL Hwb ym mar cyfeiriad y porwr. 

    Os byddwch yn cael e-bost sy’n eich annog i ddilyn dolen neu agor atodiad, arhoswch a meddyliwch a ydych chi’n disgwyl yr e-bost ac a oes unrhyw arwyddion sy’n awgrymu nad yw’n ddilys. 

    Mesurau Atal Gwe-rwydo Hwb

    Mae Hwb wedi ymgorffori nifer o fesurau i geisio ei gwneud yn haws i adnabod e-bost gwe-rwydo, yn ogystal â lleihau’r nifer sy’n llwyddo i gael trwodd. Mae’r canlynol yn crynhoi’r mesurau.

    Ni fydd negeseuon e-bost sy’n gysylltiedig â Hwb byth yn cynnwys dolenni; os oes rhywbeth brys sydd angen eich sylw, bydd yr e-bost yn egluro hynny, ond bydd unrhyw ddolenni’n cael eu cyhoeddi ar Hwb. 

    Ni fydd Hwb yn anfon e-bost at unrhyw gyfrifon e-bost eraill sydd gennych chi. Os byddwch yn cael e-bost gartref sy’n edrych fel ei fod wedi ei anfon gan Hwb, bydd yn e-bost gwe-rwydo. Byddai’n fuddiol pe baech yn anfon unrhyw negeseuon o’r fath at Ddesg Gwasanaeth Hwb - hwb@gov.wales. 

    Mae e-bost Hwb wedi’i ffurfweddu gyda nifer o reolaethau technegol i leihau nifer y negeseuon e-bost sy’n cyrraedd defnyddwyr Hwb, ac maent yn cynnwys:

    • Gwasanaeth atal gwe-rwydo Office 365, sy’n defnyddio dysgu peiriant ac algorithmau canfod i adnabod e-bost gwe-rwydo
    • DMARC, sy’n ffordd o alluogi sefydliadau sy’n anfon e-bost i adael i systemau e-bost eraill wybod beth i’w wneud ag e-bost sy’n dod oddi wrth anfonwyr heb eu hawdurdodi at Hwb
    • Safe Links Office 365, sy’n hidlo i atal mynediad at wefannau maleisus hysbys. Dylid nodi na fydd hyn o reidrwydd yn effeithiol yn achos pob safle ac nid yw felly’n golygu na ddylai unigolion fod ar eu gwyliadwriaeth!

Dilysu yw’r term a ddefnyddir i ddisgrifio’r broses o gadarnhau bod rhywun y sawl maent yn honni yr ydynt.

Mae’r rhan fwyaf o bobl yn gyfarwydd ag enw defnyddiwr a chyfrinair i ddilysu. Ers amser roedd dibynnu ar gyfrineiriau ar eu pen eu hunain yn ddigon i atal hacwyr rhag cael mynediad at gyfrifon pobl eraill.

Mae ffyrdd eraill o wirio bod rhywun y sawl maent yn ei honni, er enghraifft drwy ddefnyddio olion bysedd.

Mae’r gwahanol ffyrdd o ddilysu rhywun yn seiliedig ar dair nodwedd neu ffactor: 

  • Rywbeth rydych yn ei wybod
  • Rhywbeth sydd yn eich meddiant
  • Rhywbeth yr ydych

Rhywbeth rydych yn ei adnabod yw’r nodwedd fwyaf cyffredin a ddefnyddir i ddilysu a bydd fel arfer ar ffurf cyfrinair neu rif adnabod personol (PIN).

Enghraifft o rywbeth sydd yn eich meddiant yw peth ‘ffisegol’ o ryw fath, a fydd yn aml yn golygu cyflwyno cod fel y bydd modd cadarnhau bod yr eitem honno yn eich meddiant.

Mae rhywbeth yr ydych yn dibynnu ar fiometreg, ac er bod mwy o ddefnydd yn cael ei wneud ohonynt erbyn hyn, darllenwyr olion bysedd ar ffonau, er enghraifft, nid ydynt yn addas ar gyfer dilysu gwasanaethau cwmwl.

Ar eu pen eu hunain mae pob ffactor yn agored i ymosodiad, ond pan fyddant wedi’u cyfuno gall fod yn anodd i’w trechu. Cyfeirir at gyfuniad o fwy nag un math o ffactor yn aml fel dilysu aml-ffactor neu MFA. 

Yn achos systemau ar-lein fel Hwb, mae’r defnydd o ffactor ychwanegol yn ffordd effeithiol o sicrhau nad yw cyfrinair sy’n cael ei ddatgelu’n rhoi mynediad llawn i gyfrif a’r holl wybodaeth sydd ynddo. 

Nid yw cyfuniadau lluosog o un ffactor, er enghraifft dau neu fwy o gyfrineiriau, yn dilysu aml-ffactor.

Mae defnydd o MFA yn cael ei argymell am ei fod yn helpu i atal mynediad heb ei awdurdodi at wybodaeth, yn enwedig os yw’n diogelu data personol sensitif. 

MFA Hwb (Rheolaeth Uwch)

Mae MFA ar Hwb yn opsiwn y gellir ei ffurfweddu yn Office 365 lle mae angen cyfrinair a chyflwyno cod amser cyfyngedig yn ystod y broses fewngofnodi. 

Mae’r cod yn cael ei gynhyrchu gan app Azure Authenticator Microsoft, a bydd angen ei osod ar ffôn clyfar. Nid oes angen cysylltiad rhyngrwyd gydol yr amser i ddefnyddio’r ap ar ôl ei osod, felly bydd yn dal i weithio mewn mannau â chysylltiad rhwydwaith gwan neu ddim o gwbl.

Nodyn: Mae’r app Azure Authenticator yn ap sy’n cynhyrchu codau. Ar ôl i’r app Azure Authenticator gael ei osod bydd yn cynhyrchu cod sy’n newid bob 30 eiliad. Mae’r cod yn cael ei fewnbynnu wrth fewngofnodi i Hwb. Dim ond ag un copi o Azure Authenticator y gellir cysylltu â’ch cyfrif Hwb h.y. gellir ei ddefnyddio ar un ffôn yn unig. Mae rhagor o wybodaeth am yr ap ar gael ar wefan Microsoft.

Mae defnydd o MFA yn ofynnol ar gyfer mewngofnodi lle mae’r risg yn uwch; mae hynny’n berthnasol i staff gweinyddol yn bennaf.

Yn achos defnyddwyr Hwb mae gorfodaeth i ddefnyddio MFA yn berthnasol ar hyn o bryd i Hyrwyddwyr Digidol yn unig pan fyddant yn cael mynediad i’r Porth Rheoli Defnyddwyr o’r tu allan i rwydweithiau ysgolion.

Gall Hwb ffurfweddu’r rheolaeth ar gyfer MFA i ganiatáu hyblygrwydd fel y bydd angen MFA mewn sefyllfaoedd penodol yn unig, er enghraifft: 

  • Pobl â mynediad at wybodaeth sensitif
  • Mewngofnodi o leoliadau anhysbys, er enghraifft y tu allan i rwydweithiau ysgolion
  • Mynediad at raglenni penodol (sy’n prosesu gwybodaeth sensitif)

Os yw MFA am fod yn effeithiol cymerir yn ganiataol na fydd staff â mynediad at wybodaeth sensitif yn rhannu eu ffôn ag eraill nac yn ei adael heb ei gloi heb i’r perchennog fod o gwmpas.


Cydweithredu

Mae Hwb wedi diffinio cyfuniadau o reolaethau a argymhellir sy’n berthnasol i feysydd cydweithredu.

Rhagwelir mai’r rheolaethau safonol fydd y ffurfwedd fwyaf addas ar gyfer y rhan fwyaf o gydweithio a wneir gan ddefnyddwyr Hwb. 

Mae Azure Multi-Factor Authentication (MFA) ac Azure Rights Management (RMS), a ddisgrifir yn fwy manwl isod, yn rheolaethau Uwch, ac maent yn cael eu hargymell pan fydd angen cydweithio â data sensitif. 

Dylid dilyn penderfyniadau risg a chanllawiau lleol wrth weithio â data personol, fodd bynnag, y sefyllfaoedd defnydd a ragwelir ar gyfer y gwahanol lefelau yw:  

Uwch – Yn addas ar gyfer gwybodaeth sensitif

  • Lefel 1 – argymhellir i sicrhau bod dogfennau’n cael eu cadw’n ddiogel drwy gael rheolaethau sy’n ‘teithio’ gyda’r ddogfen.
    • Gall y lefel hon hefyd fod yn addas pan fydd angen cydweithio â niferoedd mawr o ddefnyddwyr allanol a lle mae cyfrinachedd gwybodaeth â sensitifrwydd isel yn bwysig. 
  • Lefel 2 – argymhellir y lefel hon i grwpiau bach o ddefnyddwyr yn unig; mae dibyniaeth ar ymwybyddiaeth a gwyliadwriaeth defnyddwyr o ran diogelwch gwybodaeth.
  • Safonol– Yn addas ar gyfer gweithio a chydweithio o ddydd i ddydd, a all gynnwys data sy’n galluogi adnabod unigolion, ond bydd fel arfer yn anaddas ar gyfer data mwy sensitif. Argymhellir fod rhannu’n allanol yn cael ei gyfyngu i grwpiau bach o ddefnyddwyr oherwydd ansicrwydd ynglŷn â sut y bydd trydydd partïon yn rheoli diogelwch gwybodaeth.

Lefel 

MFA 

RMS 

Rhannu Allanol 

Nifer Disgwyliedig o Ddefnyddwyr

Lefel uwch 1

Ydy 

Ydy 

Nac ydy

Llawer

Lefel Uwch 2

Ydy 

Nac ydy

Nac ydy

Ychydig

Safonol  

Nac ydy

Nac ydy

Nac ydy

Llawer

Nac ydy

Nac ydy

Ydy 

Ychydig

Mae ffeiliau sy’n cael eu storio ar G Suite for Education yn cael eu diogelu drwy amgryptio yn ystod lanlwytho / lawrlwytho ac yn cael eu storio ar weinyddion G Suite for Education, ond nid oes opsiwn i amgryptio ffeiliau yn uniongyrchol h.y. os yw ffeil yn cael ei lawrlwytho o G Suite for Education ni fydd yn cael ei hamgryptio ar y ddyfais gyrchfan.

Mae G Suite for Education yn briodol i brosesu data personol, ond pan fydd angen rhannu ffeiliau sy’n cynnwys data personol dylid defnyddio’r rheolaethau sydd ar gael yn Office 365.  

Cyfyngiadau ar Ffeiliau Team Drive

Gellir ffurfweddu Team Drives G Suite for Education i gyfyngu ar faint o ddefnyddwyr all ryngweithio â ffeiliau. Gellir ffurfweddu’r gosodiad canlynol: 

Atal sylwebwyr a gwylwyr rhag lawrlwytho, copïo, ac argraffu ffeiliau yn y Team Drive hwn

Bydd yr opsiwn ffurfweddu hwn yn atal copïau heb eu rheoli rhag cael eu lawrlwytho gan neb â rôl sylwebwyr neu wylwyr. Yn ddibynnol ar amgylchiadau’r cydweithio gall lefel y rheolaeth hon fod yn briodol i rannu cynnwys â defnyddwyr allanol. 

Bydd unrhyw ddefnyddwyr â mynediad golygu (cyfranwyr, rheolwyr cynnwys a rheolwyr) yn gallu lawrlwytho copïau o unrhyw ffeiliau. 

Hawliau Rheoli – Rheolaeth Uwch l 

Mae Azure Rights Management (RMS) yn fath o reolaeth hawliau digidol sy’n cynnig rheolaeth ychwanegol ar gyfer mynediad i ffeiliau, sy’n ‘teithio’ gyda’r ffeil.

Yn Hwb mae’r defnydd o RMS wedi’i gyfyngu ar hyn o bryd i ategu rheolaethau mynediad y rhwydwaith presennol ar gyfer llyfrgelloedd SharePoint sy’n cynnwys data sensitif. Bydd ffeiliau Microsoft Office sy’n cael eu storio yn y llyfrgelloedd diogel hyn yn cael RMS yn awtomatig a byddant ar gael yn unig i’r defnyddwyr hynny sydd â mynediad i’r llyfrgell.

Bydd ffeil sydd â RMS yn golygu y bydd yn rhaid i ddefnyddiwr gyflwyno manylion i gael mynediad at y ffeil, hyd yn oes pan fyddant yn cael mynediad ati o’r tu allan i’r amgylchedd ar-lein. Defnyddir amgryptio i atal rhywun heb ganiatâd rhag cael mynediad at gynnwys y ffeil. 

Bydd defnyddio RMS ar ffeil yn helpu i sicrhau mai dim ond pobl sydd wedi cael awdurdodaeth ymlaen llaw all weld ei chynnwys, waeth pwy sydd â mynediad ati.

Cysylltwch â’ch gweinyddwr SharePoint lleol am ragor o wybodaeth.


Ffeiliau Personol

Dilysu Aml-ffactor (MFA) – Rheolaeth Uwch

Gall gyriannau storio personol yn y cwmwl elwa drwy ddefnyddio MFA gyda chyfrif personol defnyddiwr, yn yr un ffordd â gwasanaethau eraill.

Diogelu Cyfrinair Lefel Ffeil - Rheolaeth Uwch

Gellir defnyddio diogelwch cyfrinair cynhenid Microsoft Office i ddiogelu ffeiliau sy’n cynnwys data personol, er bod hyn yn cyflwyno rhai cyfyngiadau ar y dulliau mynediad at y ddogfen (gweler y crynodeb isod). 

Nid yw rhaglenni ar-lein Google G Suite for Education yn cefnogi diogelwch cyfrineiriau’n uniongyrchol. 

Gwasanaeth

A oes diogelwch cyfrinair ar gael?

A oes modd cadw ar Yriant Ar-lein?

A oes modd gweld cynnwys ffeiliau wedi’u diogelu ar-lein? 

A oes modd golygu cynnwys ffeil wedi’i diogelu ar-lein?

G Suite for Education 

Nag oes 

Oes 

Oes 

Nag oes 

Office 365 

Ar-lein

Nag oes

Oes 

Nag oes 

Nag oes

Office 365 bwrdd gwaith

Oes

Oes

Nag oes

Oes