Nodyn Polisi Caffael Cymru WPPN 08/21: Cyber Essentials

Image

• Cymru o gymunedau cydlynus
• Cymru sy’n gyfrifol ar lefel fyd-eang

Mae WPPN 08/21 yn mabwysiadu'r Procurement Policy Note 09/14: Use of Cyber Essentials Scheme certification ("UKG PPN 09/14") ac yn diweddaru'r Nodyn Cyngor Caffael (PAN) ar gyfer y sector cyhoeddus: Cyber Essentials (2014) a fydd bellach yn cael ei archifo.

2.1 Mae'r WPPN hwn at sylw holl Awdurdodau Contractio WPS yng Nghymru, gan gynnwys adrannau Llywodraeth Cymru, cyrff GIG Cymru, Cyrff a Noddir gan Lywodraeth Cymru, awdurdodau lleol a'r sector cyhoeddus ehangach. Mae'r WPPN hwn yn cynnwys contractau nwyddau, gwasanaethau a gwaith sy'n cael eu darparu yng Nghymru.

2.2 Dosbarthwch y WPPN hwn ar draws eich sefydliad ac i sefydliadau perthnasol eraill yr ydych yn gyfrifol amdanynt, gan ei dynnu i sylw penodol y rhai mewn rolau caffael, masnachol a chyllid.

3.1 Ym mis Medi 2014, cyhoeddodd Llywodraeth y DU Nodyn Polisi Caffael ar gynllun ardystio Cyber Essentials. Anogodd Llywodraeth y DU ei mabwysiadu'n eang ac mae wedi ei gwneud yn orfodol i'w contractau sy'n ymwneud â thrin gwybodaeth bersonol a darparu rhai cynhyrchion a gwasanaethau TGCh a hysbysebwyd ar ôl 1 Hydref 2014.

3.2 Mewn ymdrech i leihau lefelau risg seiberddiogelwch yn y gadwyn gyflenwi, mewn ymgynghoriad â diwydiant, datblygodd Llywodraeth y DU drwy'r Ganolfan Seiberddiogelwch Genedlaethol (NCSC) y Cynllun Cyber Essentials i sicrhau lefel ofynnol o ddiogelwch i'w holl gyflenwyr.

3.3 Bydd unrhyw un o'r nodweddion canlynol yn golygu bod angen y gofynion a ragnodir gan Cyber Essentials:

• Pan fo gwybodaeth bersonol am ddinasyddion, megis cyfeiriadau cartref, manylion banc, neu wybodaeth am daliadau yn cael ei thrin gan gyflenwr.
• Pan fo gwybodaeth bersonol am gyflogeion y Llywodraeth, Gweinidogion a Chynghorwyr Arbennig fel y gyflogres, archebu teithio neu wybodaeth am dreuliau yn cael ei thrin gan gyflenwr.
• Lle darperir systemau a gwasanaethau TGCh sydd wedi'u cynllunio i storio, neu brosesu, data ar lefel SWYDDOGOL cynllun Marcio Gwarchodol y Llywodraeth.

3.4 Mae Cyber Essentials yn cynnig sylfaen gadarn o fesurau hylendid sylfaenol y gall pob math o sefydliadau eu gweithredu ac o bosibl adeiladu arnynt. Gall gweithredu'r mesurau hyn leihau'n sylweddol pa mor agored i niwed yw sefydliad. Fodd bynnag, nid yw'n dileu'r holl risgiau seiberddiogelwch; er enghraifft, nid yw wedi'i gynllunio i fynd i'r afael ag ymosodiadau mwy datblygedig, wedi'u targedu ac felly bydd angen i sefydliadau sy'n wynebu'r bygythiadau hyn weithredu mesurau ychwanegol fel rhan o'u strategaeth ddiogelwch. Mae Cyber Essentials yn diffinio set o reolaethau â ffocws a fydd yn darparu seiberddiogelwch sylfaenol cost-effeithiol i sefydliadau o bob maint.

3.5 Mae Cyber Essentials yn diffinio cyfres o reolaethau a fydd, pan gânt eu gweithredu'n briodol, yn rhoi amddiffyniad sylfaenol i sefydliadau o'r mathau mwyaf cyffredin o fygythiad sy'n dod o'r rhyngrwyd.

3.6 Mae Cyber Essentials yn cwmpasu elfennau sylfaenol seibrddiogelwch o fewn menter neu system TG gorfforaethol. Mae dwy lefel o ardystiad ar gael:

• Cyber Essentials – dyfernir ardystiad ar sail hunanasesiad wedi'i ddilysu, lle mae sefydliad yn cynnal ei asesiad ei hun drwy holiadur a gymeradwyir gan Uwch Weithredwr fel Prif Swyddog Gweithredol.
• Cyber Essentials Plus – yn cynnig lefel uwch o sicrwydd drwy brofi dull diogelwch y sefydliadau yn allanol. Mae Cyber Essentials Plus yn cynnwys profion o bell ac ar y safle i wirio a yw'r rheolaethau a hawliwyd mewn gwirionedd yn amddiffyn rhag ymosodiadau hacio a gwe-rwydo sylfaenol. Felly, dyma'r asesiad mwy trwyadl a dylid ei ddefnyddio pan asesir bod risg yn uchel.

Y Defnydd yng Nghymru

3.7 O’r 1 Ebrill 2015, mae angen Cyber Essentials ar gyfer holl gontractau perthnasol Llywodraeth Cymru ac fe'i defnyddir gan Wasanaeth Polisi a Chyflenwi Masnachol Llywodraeth Cymru ar bob fframwaith cydweithredol. Rhaid nodi contractau i'w cynnwys yn ystod y broses diffinio strategaeth gaffael.

3.8 Ystyriwyd yr effaith ar fusnes. Mae ardystio yn costio tua £300 y flwyddyn i sefydliadau ar y lefel sylfaenol ond yn fwy ar lefel Plws.  Gall Busnes Cymru gyfeirio busnesau bach a chanolig at ddarparwyr allanol sy'n rhoi cyngor ar gael achrediad Cyber Essentials. Nid yw'r prisiau ar gyfer ardystio yn cael eu pennu gan HMG ac maent yn cael eu gyrru i raddau helaeth gan gystadleuaeth fel y gall gostau amrywio. 

3.9 Er bod Cyber Essentials yn ofyniad gorfodol i Lywodraeth Cymru, anogir y sector cyhoeddus ehangach yn gryf i'w fabwysiadu lle mae contractau'n cynnwys gwybodaeth sensitif.

Trosolwg o ofynion allweddol y Cynllun Cyber Essentials

4.1.1 Mae'n orfodol i gyflenwyr ddangos eu bod yn bodloni'r gofynion technegol (waliau tân ffiniau a phyrth rhyngrwyd; ffurfweddiad diogel; rheoli mynediad; diogelu malware; a rheoli diweddariadau) a ragnodir gan Cyber Essentials ar gyfer y contractau hynny sy'n cynnwys unrhyw un o'r nodweddion a nodir isod, ar wahân i'r eithriadau hynny a restrir ym mharagraffau 4.2.2 – 4.2.3. Mae'r gofynion i'w gweld yn: Cyber Essentials: Requirements for IT infrastructure ar NCSC.GOV.UK

4.1.2 Mae unrhyw un o'r nodweddion canlynol yn golygu bod angen y gofynion a ragnodir gan Cyber Essentials:

• Pan fo gwybodaeth bersonol am ddinasyddion, megis cyfeiriadau cartref, manylion banc, neu wybodaeth am daliadau yn cael ei thrin gan gyflenwr.
• Pan fo gwybodaeth bersonol am gyflogeion y Llywodraeth, Gweinidogion a Chynghorwyr Arbennig fel y gyflogres, archebu teithio neu wybodaeth am dreuliau yn cael ei thrin gan gyflenwr.
• Lle darperir systemau a gwasanaethau TGCh sydd wedi'u cynllunio i storio, neu brosesu, data ar lefel SWYDDOGOL cynllun Marcio Gwarchodol y Llywodraeth.

4.1.3 Yn ogystal â'r Cyber Essentials uchod, gellir ei ddefnyddio hefyd mewn unrhyw gategori o gaffael y Llywodraeth fesul achos os yw awdurdod contractio o'r farn bod hyn yn briodol. Mae defnydd o'r fath yn mynnu bod risg seiberddiogelwch yn cael ei nodi na fyddai'n cael ei rheoli gan unrhyw un o'r gofynion diogelwch presennol a lle mae defnyddio Cyber Essentials yn ffordd berthnasol a chymesur o reoli hyn.

4.1.4. Gallai enghreifftiau gynnwys:

• Lle mae data'n cael ei gadw neu ei gyrchu y tu allan i'r DU/CE
• Lle mae data'n cael ei gadw'n rheolaidd mewn lleoliad Disaster Recovery ar wahân
• Cyflenwyr Escrow a Disaster Recovery gyda mynediad at ddata cwsmeriaid

4.1.5 Rhaid i'r Gyff Sector Cyhoeddus Cymru ddewis naill ai safonau Cyber Essentials neu Cyber Essentials Plus ar gyfer cyflenwyr yn dibynnu ar lefel y sicrwydd sydd ei angen. Dylid nodi bod Cyber Essentials wedi'i ddatblygu oherwydd nad oedd ISO27001 na safonau eraill a ystyriwyd yn ddigon rhagnodol i drechu bygythiadau cyffredin ar y rhyngrwyd. Mewn rhai caffaeliadau risg uwch, mae'n debygol na fydd Cyber Essentials Plus yn rhoi digon o sicrwydd ar ei ofynion diogelwch ei hun, a bydd gofynion diogelwch ychwanegol, ehangach, yn cael eu pennu, e.e. cyfres ISO27000. 

4.1.6 Mae'r mathau hyn o gontract yn tueddu i fod o'r categorïau canlynol o gyflenwyr:

• Gwasanaethau proffesiynol – mae hyn yn cynnwys gwasanaethau masnachol, ariannol, cyfreithiol, Adnoddau Dynol a busnes (sy'n trin data). 
• TGCh – Gwasanaethau a Reolir gan TG neu wasanaethau allanol a Gwasanaethau TGCh (sy'n rhedeg systemau sy'n storio data).

4.1.7 Fel canllaw i sut y dylid cymhwyso'r polisi, bernir bod yr enghreifftiau canlynol o gontractau o fewn eu cwmpas:

• Gwasanaethau ysgrifennu curriculum vitae i gefnogi dros 1,000 o unigolion yn ôl i'r farchnad lafur. Bydd data a gedwir gan y cyflenwr yn cynnwys enw, cyfeiriad, rhif ffôn, dyddiad geni, cyfeiriad e-bost a rhif Yswiriant Gwladol.
• Gwasanaethau llogi ceir ar gyfer deg mil o aelodau staff. Bydd data a gedwir gan y cyflenwr yn cynnwys enw, cyfeiriad gwaith, e-bost gwaith, cyfeiriad cartref (dewisol) a rhif trwydded yrru.
• Cysylltu â gwasanaethau canolfannau i gael cyngor, arweiniad a chyfeirio dros 100,000 o unigolion. Bydd data a gedwir gan y cyflenwr yn cynnwys enw, cyfeiriad, cod post, rhif ffôn, rhif Yswiriant Gwladol a manylion ariannol cyfyngedig.

4.1.8 I'r gwrthwyneb, byddai'r enghreifftiau canlynol o gontractau yn cael eu barnu fel rhai y tu allan i’r cwmpas:

• Gwasanaethau cynllunio cyfathrebu a marchnata ar gyfer cynnyrch neu wasanaeth adrannol penodol na fyddai angen mynediad at ddata personol. 
• Gwasanaethau hyfforddwyr gyrru ar gyfer 10 unigolyn sydd â mynediad cyfyngedig iawn at ddata personol sy'n gysylltiedig ac a ddarperir gan unig fasnachwr y mae ei ddefnydd o TG yn gyfyngedig ac yn gysylltiedig â'r gwasanaeth sy'n cael ei ddarparu.

4.2 Eithriadau

4.2.1 O dan yr amgylchiadau manwl sy'n dilyn ym mharagraffau 4.2.2. - 4.2.3. nid oes angen cymhwyso'r gofynion a bennir o dan Cyber Essentials ar gyfer caffaeliadau sydd fel arall o fewn y cwmpas.

4.2.2 Mae ISO27001 yn uwch na Cyber Essentials. Ni fyddai angen i unrhyw gyflenwr sydd ag ISO27001 hefyd ddal Cyber Essentials neu Cyber Essentials Plus ar yr amod bod y gwasanaeth sy'n cael ei gaffael yn rhan o'u hardystiad ISO.

4.2.3 Gellir eithrio contractau lle gellir dangos nad yw defnyddio Cyber Essentials yn berthnasol neu'n amlwg yn anghymesur, megis lle caiff risg seiberddiogelwch ei asesu fel risg isel iawn. Mewn achosion o'r fath, awgrymir bod llwybr archwilio penderfyniadau yn cael ei gofnodi.

• Rheoliadau Contractau Cyhoeddus 2015
• Rheoliadau Caffael Cyhoeddus (Diwygio etc.) (Ymadael â'r UE) 2020

Mae'r WPPN hwn yn effeithiol o'r dyddiad cyhoeddi ar 13/10/2021 hyd nes y caiff ei ddisodli neu ei ganslo.

Mae'r WPPN hwn yn cyd-fynd â'r Egwyddorion WPPS canlynol:

Egwyddor 9

Byddwn yn gwella integreiddiad a phrofiad defnyddwyr ein cymwysiadau digidol, gan wneud y defnydd gorau o'n data caffael i gefnogi'r broses o wneud penderfyniadau.

Os oes gennych unrhyw gwestiynau am y Nodyn hwn, cysylltwch â:

Polisi Masnachol: CommercialPolicy@llyw.cymru.

Canllawiau ac offer

Isod mae rhai o'r dogfennau canllaw polisi a'r offer ategol sydd ar gael i chi i'w defnyddio yn eich gweithgaredd caffael (yn nhrefn yr wyddor):

• Gwefan Cyber Essentials sy'n rhoi rhagor o fanylion
• Holiadur cwestiynau cyffredin Cyber Essentials a manyleb prawf cyffredin Cyber Essentials Plus: Free Download of Cyber Essentials Self-Assessment Questions

Dyma'r cwestiynau a'r profion diofyn i'w cymhwyso gan gyrff ardystio, oni chytunwyd ar drefniant amgen gyda'r Ganolfan Seiberddiogelwch Genedlaethol (NCSC) drwy eu corff achredu.

• Mae manylion cyrff achredu ar gael yn Certification Bodies

Ceir cwestiynau cyffredin yn Atodiad A, sy'n rhan o UKG PPN 09/14.

Defnyddiwyd y cyhoeddiadau canlynol wrth baratoi'r WPPN hwn:

• Procurement Policy Note 09/14: Cyber Essentials scheme certification (Gwasanaethau Masnachol y Goron – Medi 2014)

Procurement Policy Note 09/14: Cyber Essentials scheme certification

Daw'r cwestiynau isod o'r Nodyn Polisi Caffael a gynhyrchir gan Wasanaethau Masnachol y Goron.

C1. Pam ddylid defnyddio Cyber Essentials yng nghadwyn cyflenwi'r Llywodraeth?

• Rheoli risg seiberddiogelwch yng nghadwyn cyflenwi'r Llywodraeth
• Caniatáu i gyflenwyr y Llywodraeth ddefnyddio cynllun adnabyddadwy i ddangos i ddarpar gwsmeriaid eraill eu bod yn cymryd seiberddiogelwch o ddifrif; a
• Mae'n syml, mae’r gost yn isel ac mae'n rhwystr bach iawn i gael mynediad at gadwyn cyflenwi'r Llywodraeth.

C2. Pa feysydd technegol y mae Cyber Essentials yn eu cwmpasu?

• Waliau tân ffiniau a phyrth y rhyngrwyd
• Ffurfweddiad diogel
• Rheoli mynediad
• Diogelwch malware
• Rheoli diweddariadau

C3. Pryd ddylwn i drafod gyda/hysbysu cyflenwyr o unrhyw ofyniad Cyber Essentials perthnasol?

Yn ddelfrydol, dylid trafod hyn gyda darpar gyflenwyr yn y cam cyn caffael lle rydych yn llunio eich gofynion prosiect cyffredinol. Rhaid nodi unrhyw ofynion Cyber Essentials perthnasol yn yr Hysbysiad Contract o dan y weithdrefn Agored, a dylid ystyried tynnu sylw at unrhyw ofyniad Cyber Essentials mewn Hysbysiadau Contract ar gyfer gweithdrefnau eraill i roi'r amser hwyaf posibl i gynigwyr geisio ardystiad.

C4. Sut mae cyflenwyr yn gwybod pwy i fynd atynt i ymgymryd â'r broses ardystio?

Darperir y gwasanaeth hwn gan gyrff ardystio a gymeradwywyd gan y Llywodraeth sydd wedi'u hachredu ar hyn o bryd drwy Sicrwydd Gwybodaeth ar gyfer Busnesau Bach a Chanolig (IASME). Penodir cyrff achredu ac ardystio ychwanegol wrth i'r Cynllun Cyber Essentials ddatblygu. Mae manylion cyrff achredu ar gael yn: Certification Bodies.

C5. Ar ba bwynt y mae'n ofynnol i'r cyflenwr ddangos bod ganddynt dystysgrif Cyber Essentials?

Mae tystiolaeth o ddal tystysgrif Cyber Essentials (boed ar lefel sylfaenol neu Plus) yn ddymunol cyn dyfarnu'r contract, ond yn hanfodol ar y pwynt pryd y bydd data'n cael ei drosglwyddo i'r cyflenwr. O dan amgylchiadau eithriadol, efallai y bydd Adrannau am wneud penderfyniad sy'n seiliedig ar risg a chaniatáu i gontract ddechrau os yw ardystiad Cyber Essentials o fusnes cyflenwyr naill ai'n anghyflawn neu ddim yn gyfredol. Mae angen cofnod o'r penderfyniad.

C6. Faint fydd yn ei gostio i gyflenwr gael ei ardystio gan Cyber Essentials?

Y gost i gwmnïau llai gael eu hardystio yw £300 + TAW ar lefel sylfaenol, ac nid oes unrhyw gostau penodol ar gyfer cyber essential ar lefel plws fel sy’n cael ei ddyfynnu'n unigol. Cyfeiriwch at Lasme.co.uk am fwy o fanylion. Gellir dod o hyd i'r wybodaeth ddiweddaraf am gostau ar dudalennau gwe IASME, corff ardystio cymeradwy'r NCSC, y gellir dod o hyd iddynt ar Iasme.co.uk

C7. Pa mor aml fydd angen adnewyddu ardystiad Cyber Essentials?

Dylai cyflenwyr feddu ar Dystysgrif Cyber Essentials nad yw'n hyn na 12 mis oed. Gan fod Cyber Essentials yn rhoi sicrwydd o gydymffurfiad ar adeg profi yn unig, gall sefydliadau ardystiedig nad ydynt yn diweddaru eu TGCh yn rheolaidd neu nad ydynt yn rheoli ffurfweddiad diogel olygu nad ydynt yn cydymffurfio'n sylweddol mewn llai na blwyddyn. Dylai'r gofyniad i ardystio'n fwy rheolaidd fod yn seiliedig ar risg a'i bennu fesul achos, yn amodol ar ofynion y contract.