Eitem Rhaglen

Cyflwyno Adroddiad Blynyddol yr Uwch Berchennog Risg Gwybodaeth. (UBRG) am 2015/16.

Cyflwynwyd adroddiad Uwch Berchennog Risg Gwybodaeth y Cyngor yn amlinellu’r prif faterion llywodraethu gwybodaeth ar gyfer y cyfnod o 1 Ebrill, 2015 hyd at 31 Mawrth, 2016 ynghyd â’r blaenoriaethau presennol er ystyriaeth gan y Pwyllgor.

Adroddodd yr Uwch Berchennog Risg Gwybodaeth (UBRG) bod disgwyl i’r UBRG gynhyrchu adroddiad blynyddol. Yr adroddiad a gyflwynir yw’r adroddiad cyntaf o’i fath gan yr UBRG yn Ynys Môn a’i bwrpas yw cloriannu’r sefyllfa yn y Cyngor. Mae’r adroddiad yn cynnwys crynodeb o faterion llywodraethu gwybodaeth sydd wedi codi yn y gorffennol yn ogystal â mapio’r camau a gymerwyd hyd yma a’r cynlluniau ar gyfer y dyfodol.

Cyfeiriodd y Swyddog yn benodol at y canlynol:

•           Y digwyddiadau diogelwch data yn ystod y cyfnod wedi eu categoreiddio yn ôl eu difrifoldeb. Cyfeirir at nifer y digwyddiadau a gofnodwyd yn Atodiad B ac mae’n cynnwys 6 digwyddiad Lefel 0 i Lefel 1 (defnyddiwyd methodoleg digwyddiad diogelwch data ar gyfer y digwyddiadau a phenderfynwyd nad oedd angen adrodd am 5 o’r digwyddiadau hyn i Swyddfa’r Comisiynydd Gwybodaeth ac roedd 1 yn ddigwyddiad “cael a chael”). Ni chofnodwyd unrhyw ddigwyddiadau Lefel 2 (digwyddiadau sy’n rhaid eu hadrodd i’r SCG a rheolyddion eraill).

•           Bod y Cyngor yn monitro Dangosyddion Perfformiad penodol sy’n gysylltiedig â Llywodraethu Gwybodaeth, rhai ar sail fisol ac eraill ar sail chwarterol. Gweithredir ar y rhain ar sail eithriad ac fe’u defnyddir i symud materion ymlaen fel bo’r angen i sylw’r UDA.

•           Sefydlwyd rolau Llywodraethu Gwybodaeth penodol o fewn y Cyngor sy’n cynnwys Perchnogion Asedau Gwybodaeth a Gweinyddwyr Asedau Gwybodaeth ac mae eu cyfrifioldebau hwy yn cael eu crynhoi ym mharagraff 4 yr adroddiad. Maent wedi derbyn hyfforddiant arbenigol er mwyn ymgymryd â’r gwaith.

•           Mae’n rhaid i holl staff y Cyngor dderbyn hyfforddiant Llywodraethu Gwybodaeth sylfaenol sy’n cael ei ddiweddaru bob dwy flynedd. Dechreuodd yr hyfforddiant hwn ym mis Mehefin 2014 a dilynwyd proses i sicrhau fod pob aelod o staff yn cymryd rhan. Mae canran cydymffurfiaeth yn agos i 90%.

•           Sefydlwyd ystod o bolisïau LlG allweddol (cyfeirir atynt ym mharagraff 5.2 yr adroddiad) ac mae copïau ohonynt i’w cael ar fewnrwyd y Cyngor. Mae’r Bwrdd Llywodraethu Gwybodaeth Corfforaethol (BLlGC) yn adolygu a diweddaru’r polisïau hyn yn rheolaidd. Yn dilyn adnabod cyllid mae’r Cyngor erbyn hyn wedi caffael ac yn y broses o weithredu system rheoli polisi fydd yn rhoi sicrwydd i’r BLlGC bod y polisïau LlG allweddol yn cael eu darllen, eu deall a’u derbyn yn ffurfiol gan aelodau staff unigol. Bydd y system rheoli polisi yn cael ei defnyddio’n ehangach, a’r syniad yw y bydd llyfrgell ddigidol o bolisïau cyfredol ar draws pob gwasanaeth corfforaethol ar gael i staff.

•           Mae cydymffurfiaeth diogelu data y Cyngor yn ei gyfanrwydd wedi cael ei asesu fel risg canolig gan Archwilio Mewnol. Mae’r UBRG yn anelu at gynhyrchu Datganiad Rheoli yn ystod y 3 mlynedd nesaf yn ddibynnol ar weithredu a phrofi’r camau a ddisgrifir yn yr adroddiad yn llwyddiannus. Y prif ffactor mewn perthynas â gwella lefel risg ganolig y Cyngor yw’r Gofrestr Asedau Gwybodaeth gan mai hon yw’r adnodd allweddol ar gyfer deall pa wybodaeth a gedwir gan sefydliad a’r risgiau allweddol cysylltiedig. Nid yw Cofrestr y Cyngor wedi datblygu i’r graddau bod gwybodaeth ddigonol am y risgiau i’r asedau yn cael eu casglu ar lefel fanwl. Bydd rhaid gwneud y gwaith o fewn yr adnoddau presennol gan ddilyn dull sy’n seiliedig ar risg.

•           Cyfeiria’r adroddiad hefyd at y gwaith sy’n gysylltiedig â Swyddfa’r Comisiynwyr Arwylio a Deddf Rheoleiddio Pwerau Ymchwilio.

•           Mae’r UBRG yn gallu dod i’r canlyniad bod trefniadau’r Cyngor ar gyfer LlG a chydymffurfiaeth diogelu data yn rhesymol effeithiol.

Ystyriodd y Pwyllgor yr adroddiad a gwnaethpwyd y pwyntiau canlynol –

•           Nododd y Pwyllgor bod llawer iawn o gynnydd wedi digwydd o ran gweithredu gwaith archwiliad SCG a gweithgarwch gorfodi, er bod y gwaith wedi cychwyn o lefel isel iawn.

•           Gofynnodd y Pwyllgor am eglurhad, mewn amgylchedd ble mae pwyslais cynyddol ar ddigideiddio gwasanaethau ac ar ryngweithio’n ddigidol, e.e. drwy ddefnyddio Skype i ymgysylltu â chleientiaid a defnyddwyr gwasanaeth, am y camau sy’n cael eu cymryd i roi mesurau diogelu yn eu lle wrth weithredu arferion newydd o’r fath. Dywedodd yr UBRG y byddai’r gwasanaethau unigol yn arwain gan dderbyn cyngor gan yr UBRG a TGCHh ac yna ei adrodd drwy’r BLlCG.

•           Nododd y Pwyllgor er bod llawer wedi ei wneud ar lefel gorfforaethol i fynd i’r afael â gwendidau yn y trefniadau LlG yn yr Awdurdod, mae nifer o achosion o dramgwyddo’n gallu codi oherwydd esgeulustod ac arfer gwael. Gofynnodd y Pwyllgor am sicrwydd bod yr un lefel o sylw yn cael ei roi i sicrhau fod y pethau sylfaenol yn eu lle e.e. bod mecanwaith ar gyfer gwirio a sicrhau cywirdeb e-byst/cyfeiriadau a gwybodaeth a gedwir ar gronfeydd data. Dywedodd yr UBRG bod SCG yn cydnabod bod gwallau dynol yn bosib ac nad oes modd cael gwared â hynny’n gyfan gwbl; y disgwyl felly yw bod risgiau’n cael eu rheoli’n effeithiol yn hytrach na pheidio â chael yr un achos o dramgwyddo data ac i ddysgu o unrhyw ddigwyddiadau sy’n digwydd. Er nad oes yr un system all ddileu’r holl risgiau, y nod ddylai fod i reoli’r risgiau a’i lleihau i’r lefel isaf bosib ac i lefel y gall yr Awdurdod ei goddef ar sail weithredol. Dywedodd y Pennaeth Swyddogaeth (Adnoddau) a Swyddog Adran 151 fod y Cyngor wedi rhyddhau cyllid i wella prosesau busnes ac y cymeradwywyd dau fid, un i gysylltu systemau’r Awdurdod i’r mynegai eiddo cenedlaethol (rhestr o rifau cyfeirnod eiddo ar gyfer pob cyfeiriad yn y DU) fydd yn arwain at wella cywirdeb, ac un i weithredu system Rheoli Cysylltiadau Cwsmer sydd hefyd yn gwirio gwybodaeth e.e. cyfeiriadau.

•           Nododd y Pwyllgor bod amrywiaeth rhwng gwasanaethau yn nhermau llywodraethu gwybodaeth a diogelu data a gofynnwyd am sicrwydd ynghylch y camau a gymerir i sicrhau'r un lefel o fedrusrwydd a chydymffurfiaeth ar draws yr holl wasanaethau. Cadarnhaodd y UBRG bod lefel medrusrwydd a chydymffurfiaeth yn gwahaniaethu rhwng gwasanaethau gyda rhai gwasanaethau’n well am wneud rhai pethau na'i gilydd e.e. oherwydd eu bod yn aml yn gymhleth, mae ymateb i geisiadau am fynediad pwnc yn gallu bod yn broses araf yn y Gwasanaethau Cymdeithasol ond y consensws yn y cyswllt hwnnw yw bod cywirdeb yn well na chyflymder er mwyn lleihau’r risg bod gwybodaeth sensitif yn cael ei rannu a pherson anawdurdodedig drwy amryfusedd.

Penderfynwyd derbyn Adroddiad Blynyddol yr UBRG ar gyfer 2015/16 ac i nodi y lefelau cydymffurfiaeth a risg y manylir arnynt yn yr adroddiad yn unol â chanfyddiad yr Uwch Berchennog Risg Gwybodaeth.

DIM GWEITHREDU PELLACH I DDILYN.