English

Materion allweddol yn ymwneud â rheoli data a seiberddiogelwch ar gyfer sefydliadau’r sector treftadaeth

Efallai eich bod o’r farn fod rheoli data a seiberddiogelwch yn faterion sy’n effeithio ar sefydliadau corfforaethol mawr yn unig. Ond mae gweithio mewn modd diogel, cynnal ansawdd cofnodion, ac amddiffyn rhag gwendidau a grëwyd gan hen dechnoleg neu systemau a dyfeisiau personol a ddefnyddir gan wirfoddolwyr, yn ystyriaethau pwysig i sefydliadau llai. Mae’r adnodd hwn yn nodi’r prif faterion sy’n wynebu sefydliadau llai a pha gamau allweddol y gellir eu cymryd.

Mae'r adnodd hwn ar gael yn Saesneg a Chymraeg
Tourists looking at costumes in a museum
Image courtesy of Ioan Said Photography ©
Tourists looking at costumes in a museum

Key issues in data management and cyber security for heritage sector organisations

Cynnwys

1. Pwysigrwydd rheoli data a seiberddiogelwch

Rheoli data

Hyd yn oed mewn sefydliadau llai, caiff data ei ystyried fwyfwy fel ased pwysig. Trwy gael dull penodol o reoli data – dull a roddir ar waith ledled y sefydliad – gellir esgor ar welliannau parhaus yn ansawdd y data a gaiff ei gofnodi a’i storio, ond hefyd gellir arwain at y canlynol:

  • creu cyfleoedd newydd i gynhyrchu incwm
  • marchnata mwy effeithiol, a thrwy hynny, mwy o ymwybyddiaeth ac ymgysylltu ymhlith rhanddeiliaid
  • gwell dealltwriaeth o berfformiad, effeithiolrwydd ac effaith eich sefydliad, a ysgogir gan ddata o ansawdd da
  • dangos bod eich sefydliad yn rhoi pwysigrwydd ar y modd y caiff eich cefnogwyr, eich gwirfoddolwyr, eich staff a’ch rhanddeiliaid eraill eu trin
  • diogelu enw da ac ewyllys da eich sefydliad, ynghyd â gwerth ei frand
  • sicrhau y cedwir at yr holl gyfreithiau data perthnasol a’r holl faterion eraill sy’n berthnasol i gydymffurfio (e.e. y Ddeddf Diogelu Data/Rheoliad Cyffredinol ar Ddiogelu Data, PECR a Safon Diogelwch Data’r Diwydiant Cardiau Talu ac ati).

Trwy lunio cynllun rheoli data, bydd modd i’ch sefydliad bennu cyfeiriad clir wrth ichi anelu at wneud y gorau o’r manteision sy’n perthyn i reoli data’n effeithiol.

Seiberddiogelwch

Mae bygythiadau seiber yn beryglon gwirioneddol a phresennol, a dônt dan sawl cochl gwahanol. Yn ddi-os, mae soffistigeiddrwydd, swm a ffynonellau bygythiadau seiber – megis maleiswedd, gwe-rwydo, atal gwasanaethau a mynediad trwy ddyfalu cyfrineiriau – ar gynnydd.

Cam cyntaf pwysig o ran gwella eich seiberddiogelwch yw deall rhai o’r bygythiadau cyffredin.

  • Maleiswedd – meddalwedd sydd wedi’i chynllunio’n benodol i niweidio eich system gyfrifiadurol, amharu arni neu gael mynediad ati.
  • Gwe-rwydo – yr arfer o anfon e-byst twyllodrus sy’n anelu at berswadio’r derbynnydd i ddatgelu gwybodaeth bersonol.
  • Atal gwasanaethau – ymosodiad sydd â’r bwriad o ddiffodd rhwydwaith cyfrifiadurol trwy foddi’r system â thraffig neu anfon gwybodaeth a fydd yn peri i’r cyfrifiadur chwalu.
  • Mynediad trwy ddyfalu cyfrineiriau – ffurf ar hacio lle eir ati i ddyfalu cyfrineiriau, manylion mewngofnodi neu allweddi amgryptio.

Trwy gael dulliau cadarn o’ch diogelu rhag ymosodiadau seiber, bydd modd amddiffyn eich sefydliad rhag y canlynol:

  • mynediad anawdurdodedig at ddata, ynghyd â cholli, trosglwyddo neu ddileu data mewn modd anawdurdodedig
  • rhannu neu gyhoeddi data ar-lein mewn modd anawdurdodedig
  • colled ariannol yn sgil taliadau twyllodrus, taliadau pridwerth a dirwyon mawr posibl am dorri cyfreithiau data
  • trafferthion gweithredol yn sgil digwyddiad seiberddiogelwch
  • ymosodiadau ar enw da, ewyllys da ac incwm.

Ymhellach, bydd dulliau cadarn o ddiogelu eich sefydliad rhag ymosodiadau seiber yn eich helpu i gadw at yr holl gyfreithiau data perthnasol a’r holl faterion eraill sy’n berthnasol i gydymffurfio (e.e. y Ddeddf Diogelu Data/Rheoliad Cyffredinol ar Ddiogelu Data, PERC a Safon Diogelwch Data’r Diwydiant Cardiau Talu).

2. Materion allweddol

Mae ein harbenigwr, Craig Humphries, uwch-ymgynghorydd yn Lightful, yn eich tywys trwy’r materion allweddol a all ddod i ran sefydliadau yn ystod eu siwrnai i wella seiberddiogelwch a’r modd y rheolir data. Mae’n awgrymu camau y gallwch eu cymryd ac mae’n cynnig ffynonellau cymorth pellach.

Isod, nodir rhai o’r materion allweddol ar gyfer sefydliadau o bob maint:

  • Efallai y ceir dryswch ynglŷn â phwy sy’n atebol am wahanol agweddau ar reoli data a seiberddiogelwch.
  • O dro i dro, mae sicrhau bod y sefydliad yn cydymffurfio â’r Ddeddf Diogelu Data (2018), PERC a Safon Diogelwch Data’r Diwydiant Cardiau Talu (pan fo’n berthnasol) yn gallu bod yn dreth ar amser, ac mae angen ffocws ac adnoddau parhaus.
  • Efallai na fydd sefydliadau yn meddu ar ddigon o wybodaeth, profiad neu adnoddau (o ran arian nac amser).
  • Nid yw’n glir bob amser pa systemau a dyfeisiau a ddefnyddir, nac ymhle – rhywbeth sydd wedi dwysáu ers y cynnydd mewn gweithio o bell.
  • Efallai fod yna ddryswch ynglŷn â pha ddata a gaiff ei gofnodi (e.e. personol, ariannol, categori arbennig/sensitif, masnachol sensitif ac ati).
  • Efallai na fydd gan sefydliadau gynllun adfer ar ôl trychineb data – cynllun cyfredol wedi’i ddogfennu a’i brofi.
  • Efallai na fydd dulliau o reoli a newid mynediad defnyddwyr at systemau a data yn ddigon trylwyr ac amserol.
  • Gyda’r cynnydd mewn gweithio o bell, tasg anodd yw rheoli dyfeisiau a diogelwch. Gall defnyddio ateb Rheoli Dyfeisiau Symudol (MDM) helpu yn hyn o beth.
  • Efallai na fydd trefniadau dilysu dau ffactor/aml-ffactor ar waith yn llwyr.
  • Efallai y ceir anhawster i gadw pob dyfais a system yn gyfredol â diweddariadau diogelwch a’r fersiynau diweddaraf.
  • Tasg anodd yw rheoli a diogelu eich systemau a’ch data pan fo’r staff a’r gwirfoddolwyr yn defnyddio’u dyfeisiau electronig eu hunain i dderbyn e-byst neu wneud galwadau ffôn.
  • Gall fod yn anodd dod o hyd i ffyrdd a fydd yn sicrhau bod data a diogelwch ar flaen meddyliau pawb er mwyn helpu i ganfod bygythiadau seiberddiogelwch posibl ac uwchgyfeirio’r mater yn gyflym i leihau neu ddileu unrhyw effaith ar y sefydliad.

3. Camau i’w cymryd

Gan eich bod bellach yn ymwybodol o faterion allweddol yn ymwneud â rheoli data a seiberddiogelwch, gallwch fynd ati i gymryd camau. Dyma rai camau a fydd yn eich rhoi ar ben y ffordd:

  • Ewch ati i gadarnhau atebolrwydd – pwy o fewn eich sefydliad sy’n gyfrifol am reoli data, seiberddiogelwch a diogelwch systemau? Pa help a chymorth y mae’r unigolyn hwn/unigolion hyn eu hangen?
  • Gwiriwch fod eich sefydliad yn cymryd yr holl gamau gofynnol i gydymffurfio â chyfreithiau diogelu data.
  • Gwnewch yn siŵr fod y staff a’r gwirfoddolwyr i gyd yn cael hyfforddiant rheolaidd yn ymwneud â diogelu data a seiberddiogelwch (yn flynyddol, yn ddelfrydol), ynghyd â deunyddiau cyfathrebu ad-hoc i godi eu hymwybyddiaeth.
  • Edrychwch ar wefan y Ganolfan Seiberddiogelwch Genedlaethol i gael rhagor o wybodaeth am risgiau seiber ac i weld pa gyngor a deunyddiau cymorth sydd ar gael.
  • Ystyriwch ymgeisio am ardystiad Hanfodion Seiber (Cyber Essentials) ar gyfer eich sefydliad.
  • Adolygwch eich systemau er mwyn sicrhau bod trefniadau dilysu dau ffactor neu aml-ffactor ar waith ar bob dyfais a system pan fo modd.
  • Gwiriwch a oes gan eich sefydliad gynllun adfer ar ôl trychineb – un cyfredol ac un sydd wedi’i brofi.
  • Ewch ati i lunio a chyflwyno cynllun rheoli data.

Ffynonellau cymorth pellach

Isod mae rhai dolenni i ddarllen pellach a chanllawiau rydym yn gobeithio y byddant yn ddefnyddiol i chi:

Swyddfa’r Comisiynydd Gwybodaeth – Canllawiau ar y Ddeddf Diogelu Data a PECR

Y Ganolfan Seiberddiogelwch Genedlaethol – Canllawiau ar seiberddiogelwch i sefydliadau bach/canolig eu maint

Y Ganolfan Seiberddiogelwch Genedlaethol – Canllawiau ar Hanfodion Seiber (Cyber Essentials)

Safon Diogelwch Data’r Diwydiant Cardiau Talu



More help here


A staircase through a cave

How to create a successful IT strategy

This resource explores what an IT strategy means and the value it can bring to your organisation. It looks at what you need to include to make your IT strategy achievable, relatable and, above all, successful. You can use this guidance to decide whether your organisation would benefit from an IT strategy. There is also a downloadable template you can use to structure your IT strategy document.

 
Various items such as mugs and lights on display in a museum

What are the active measures I need to put into place to address issues around data archiving and storage?

This guide is designed to help leaders of heritage organisations decide on the best storage option for archiving digital data. It looks at what you need to consider before you choose a storage solution, as well as the pros and cons of some of the main options available.

 

Browse related resources by smart tags:



Crisis management Data protection GDPR Risk
Published: 2022
Resource type: Articles


Creative Commons Licence Except where noted and excluding company and organisation logos this work is shared under a Creative Commons Attribution 4.0 (CC BY 4.0) Licence

Please attribute as: "Key issues in data management and cyber security for heritage sector organisations (2022) by Craig Humphries supported by The National Lottery Heritage Fund, licensed under CC BY 4.0




 
 


More help here



Digital Heritage Hub is managed by Arts Marketing Association (AMA) in partnership with The Heritage Digital Consortium and The University of Leeds. It has received Department for Digital, Culture, Media and Sport (DCMS) and National Lottery funding, distributed by The Heritage Fund as part of their Digital Skills for Heritage initiative. Digital Heritage Hub is free and answers small to medium sized heritage organisations most pressing and frequently asked digital questions.

Arts Marketing Association
Heritage Digital
University of Leeds logo
The Heritage Fund logo