English

Hwb

Seiberddiogelwch mewn ysgolion: cwestiynau ar gyfer cyrff llywodraethu a phwyllgorau rheoli

Mae’r 8 cwestiwn canlynol i gyrff llywodraethu a pwyllgorau rheoli wedi’u llunio gan y Ganolfan Seiberddiogelwch Genedlaethol (NCSC) drwy gydweithio â Llywodraeth Cymru, er mwyn helpu i wella dealltwriaeth ysgol o’i risgiau seiberddiogelwch mewn ffordd gymesur.


Mae ysgolion yn ddibynnol iawn ar TG a gwasanaethau ar-lein i weithredu. Maen nhw’n cadw llawer iawn o ddata personol sensitif ar ddysgwyr, rhieni, gofalwyr ac ymarferwyr addysg hefyd. Mae angen cadw’r holl wybodaeth hon yn saff ac yn ddiogel.

Prif ddiben seiberddiogelwch yw sicrhau bod y dyfeisiau rydym yn eu defnyddio, a’r gwasanaethau rydym yn cael mynediad iddynt wedi’u diogelu rhag y risgiau a wynebir gan ddigwyddiad seiberddiogelwch a allai arwain at ladrad neu ddifrod. Mae’n ymwneud hefyd ag atal mynediad heb ei awdurdodi i’r data personol sylweddol rydym yn ei storio ar y dyfeisiau, y gweinyddion a’r cyfrifon ar-lein hyn. 

Gall digwyddiad seiberddiogelwch effeithio ar allu’r ysgol i weithredu, diogelwch ei data a’i henw da. Bydd arweinwyr yr ysgol a’r corff llywodraethu am sicrhau eu bod yn ymwybodol o risgiau seiber a’u bod wedi paratoi’n ddigonol pe bai yna ddigwyddiad seiber. Bydd ysgolion yn dilyn dulliau tebyg eisoes mewn perthynas â rheoli risgiau a chyfrifoldebau’n ymwneud â GDPR a diogelu dysgwyr yn fwy cyffredinol.

Rolau a chyfrifoldebau

Mae rôl pwyllgorau rheoli cyrff llywodraethu yn un strategol a dylai ganolbwyntio ar sicrhau bod gan ysgolion bolisïau a gweithdrefnau TG ar waith sy’n cynnwys y defnydd o systemau TGCh a diogelwch data, yn cynnwys cydymffurfio â’r Rheoliad Cyffredinol ar Ddiogelu Data (GDPR) (Saesneg yn unig).


Mae’r 8 cwestiwn canlynol wedi’u llunio gan y Ganolfan Seiberddiogelwch Genedlaethol (NCSC) drwy gydweithio â Llywodraeth Cymru, er mwyn helpu i wella dealltwriaeth ysgol o’i risgiau seiberddiogelwch mewn ffordd gymesur. Ni ddylid defnyddio’r cwestiynau hyn fel rhyw fath o restr wirio. Maen nhw wedi’u hysgrifennu er mwyn cychwyn y sgwrs ar seiberddiogelwch rhwng y corff llywodraethu ac arweinwyr ysgol, gyda’r corff llywodraethu yn arwain y ffordd.

Dylai arweinwyr ysgol sicrhau bod yna reolau a pholisïau priodol ar waith (fel Polisïau Defnydd Derbyniol, Polisïau Trin Data; ac ati) er mwyn llywio a llywodraethu ymarfer. Yn ogystal, dylai arweinwyr ysgol fod yn hyderus bod eu partner cymorth TG yn rhoi mesurau priodol ar waith ar gyfer y rhwydwaith a diogelu data er mwyn diogelu eu hysgolion rhag bygythiadau allanol a mewnol. Mae rhagor o ganllawiau ar ddiogelwch rhwydweithiau a data ar gyfer ysgolion yng Nghymru ar gael ar Hwb.

Nodir y cwestiynau ar draws tair thema: i gael gwybodaeth, i godi ymwybyddiaeth ac i wella parodrwydd ar gyfer digwyddiad posibl.


Cwestiynau ffeithiol ar gyfer y corff llywodraethu er mwyn sicrhau bod gan yr ysgol ddealltwriaeth dda o’i gwasanaethau TG:

Er mwyn sicrhau y gall ysgol gadw ei data a’i systemau’n ddiogel, dylai wybod pwy yw ei phrif bartneriaid cymorth TG. Gallai’r rhestr hon gynnwys y rhai sy’n darparu cysylltiad rhyngrwyd yr ysgol neu sy’n cynnal gwefan yr ysgol. Gall gynnwys contractau cymorth TG hefyd gan Awdurdod Lleol neu Ddarparwyr Gwasanaethau a Reolir. Os yw ysgolion yng Nghymru ar rwydwaith Cydgasglu Band Eang y Sector Cyhoeddus mae rhagor o wybodaeth ar gael ar Hwb.

Gan ddibynnu ar yr ysgol, gall fod yn aelod o’r staff addysgu, neu’n Bartner Cymorth TG ar wahân fel ei hawdurdod lleol. Mae’n bwysig bod arweinwyr ysgol yn gwybod pwy/beth ydyw, a bod yr unigolyn/tîm/cwmni yn dilyn arferion seiberddiogelwch allweddol fel yr amlinellir yn y canllawiau Safonau Digidol Addysg ar Ddiogelwch rhwydweithiau a data ar Hwb a chanllawiau NCSC 10 Steps to Cyber Security (Saesneg yn unig).

Mae rhai gwasanaethau TG yn hanfodol i gynnal yr ysgol o ddydd i ddydd - dyma’r rhai a fydd angen eu diogelu fwyaf. Bydd angen eu hystyried fel y “perlau go iawn”. Er enghraifft, bydd System Gwybodaeth Reoli (MIS) yr ysgol yn cynnwys cofnodion meddygol y dysgwyr, gwybodaeth ddiogelu a gwybodaeth gyswllt rhieni a gofalwyr. Heb fynediad at yr wybodaeth hon, (neu gopi caled wrth gefn), byddai ysgolion yn ei chael hi’n anodd parhau’n weithredol pe bai eu systemau TG yn methu mewn unrhyw ffordd. Gellid rheoli gwasanaethau TG eich ysgol yn fewnol, mewn cydweithrediad â Phartner Cymorth TG neu gymysgedd o’r ddau.

Os yw ysgol yn colli mynediad i’w data hanfodol, gellir lleddfu rhywfaint ar yr effeithiau drwy gael cynllun wrth gefn ac adfer priodol ar waith. Gall cael cynlluniau wrth gefn ar gyfer data pwysig fod o gymorth pan fo yna ddigwyddiadau seiber ond hefyd mewn sefyllfaoedd trychinebus eraill fel tân, llifogydd, difrod ffisegol neu pan fo dyfeisiau’n cael eu dwyn.

Am ragor o wybodaeth am reoli gwasanaethau digidol a thechnoleg ysgolion gweler ein Safonau Rheoli Dyfeisiau fel rhan o Safonau Digidol Addysg.


Y graddau y mae defnyddiwr a’r corff llywodraethu’n deall pwysigrwydd seiberddiogelwch a’u rôl ynddo:

Gair i gall

Dylid ystyried digwyddiadau neu ymosodiadau seiber yng nghyd-destun rheoli risg a dylid eu rhestru ar gofrestr risgiau’r ysgol, ochr yn ochr â risgiau TG a data eraill. Dylid cyfeirio at seiberddiogelwch yn holl bolisïau perthnasol yr ysgol (e.e. parhad busnes, diogelu data, defnydd derbyniol ac ati). Fe’ch cynghorir hefyd i gynnwys seiberddiogelwch fel eitem reolaidd ar yr agenda yng nghyfarfodydd y corff llywodraethu yn yr un modd â phynciau eraill fel GDPR a diogelwch ffisegol yr ysgol.

Mae seiberddiogelwch da yn ddibynnol ar bobl. Gall ymarferwyr addysg dynnu sylw ysgolion at broblemau posibl fel canfod negeseuon e-bost neu alwadau ffôn gwe-rwydo, neu sylwi pan fo gwasanaeth yn rhedeg yn arbennig o araf, a allai fod yn arwydd o ymosodiad seiber.

Gair i gall

Gallwch gael sicrwydd drwy ofyn i staff yr ysgol gymryd rhan mewn hyfforddiant seiberddiogelwch.

Mae gwe-rwydo’n fath cyffredin o ymosodiad seiber, bydd y modiwl hyfforddi hwn yn helpu ymarferwyr addysg i ddeall gwe-rwydo a sut i amddiffyn eu hunain a’u hysgol.

Mae yna adnoddau hyfforddi eraill fel Canllawiau a chynghorion ymarferol yr NSCS y gellir ei lawrlwytho o wefan Hwb.


Mae bod yn barod ar gyfer effaith bosibl digwyddiad seiberddiogelwch yn hanfodol er mwyn helpu ysgolion i sicrhau cyn lleied o darfu â phosibl pe bai rhywbeth yn digwydd:

Gall pob mathau o ysgolion wynebu digwyddiad seiber. Gallai digwyddiad seiber olygu nad yw rhwydwaith yr ysgol ar gael am gyfnod anhysbys, gyda mynediad cyfyngedig at ddata a gwasanaethau pwysig neu ddim mynediad o gwbl. Cyfeiriwyd at bwysigrwydd mynediad i MIS yn gynharach yn thema A, ond mae yna wasanaethau eraill fel: ffonau, systemau rheoli mynediad, systemau talu di-arian. Bydd y rhain yn effeithio ar weithrediad yr ysgol os nad ydynt ar gael.

Gair i gall

Gallwch gael sicrwydd yn y sefyllfa hon drwy sefydlu a oes gan yr ysgol gynllun parhad busnes ar waith sy’n cynnwys TG a’r gwasanaethau ehangach hyn. Er enghraifft, efallai fod gan eich ysgol gopi papur o gofrestr yr ysgol a gwybodaeth gyswllt ar gyfer rhieni. Byddai hyn yn golygu y gall yr ysgol gynyddu ei siawns o weithredu pe bai digwyddiad seiber. Yr hyn sy’n allweddol yw’r rhestr o gyflenwyr gwasanaethau TG y mae’r ysgol yn eu defnyddio yn cynnwys rhifau cyswllt. Gall 10 Steps to Cyber Security a Response and Recovery Guide yr NSCS helpu i roi’r ysgol ar ben ffordd a rhoi sicrwydd i lywodraethwyr.

Dylai cynllun parhad busnes yr ysgol restru ei brif bartneriaid cymorth TG, yn ogystal â’r rhai a allai fod yn gyfrifol am waith rheoli TG yn yr ysgol. Mae’n bwysig iawn bod gwybodaeth gyswllt gyfredol ar gael ochr yn ochr â’r rhestr hon.

Gair i gall

I ysgolion, byddai sefydlu pa rôl y byddai’r partneriaid cymorth TG hyn yn ei chyflawni pe bai digwyddiad seiberddiogelwch yn fuddiol iawn yn ystod y cam cynllunio hwn. Os oes angen cymorth neu arbenigedd ychwanegol pe bai digwyddiad, dylid ei nodi ymlaen llaw. Efallai y bydd ysgol am restru gwybodaeth gyswllt bwysig hefyd o’r awdurdod lleol, cadeirydd y corff llywodraethu a’r heddlu lleol. Gall ysgolion adrodd digwyddiadau seiberddiogelwch i Action Fraud, canolfan adrodd genedlaethol y DU ar gyfer twyll a seiberddiogelwch. Os oedd y digwyddiad yn cynnwys achos o dorri cyfrinachedd data, gallai fod angen hysbysu Swyddfa'r Comisiynydd Gwybodaeth (ICO) amdano o dan ganllawiau GDPR.