Cynnal gweithgareddau asesu a rheoli risg diogelwch gwybodaeth
Trosolwg
Mae gwybodaeth, yn ei holl ffurfiau, yn rhan hanfodol o’r amgylchedd digidol yr ydym yn byw ac yn gweithio ynddo. Mae risg gwybodaeth yn ymwneud ag asesu pwysigrwydd gwybodaeth i’r sefydliad a’r niwed y gellir ei achosi o ganlyniad i fethu â rheoli, defnyddio neu ddiogelu gwybodaeth. Mae rheoli risg yn galluogi sefydliad i flaenoriaethu risgiau, defnyddio adnoddau’n effeithlon a thrin risgiau drwy ddefnyddio dull cyson wedi’i ddogfennu gan ystyried bygythiadau, gwendidau a niwed posibl.
Mae angen deall risg i system wybodaeth, cynllunio ar ei chyfer a'i rheoli o fewn y cyd-destun hwn.
Mae'r safon hon yn diffinio'r cymwyseddau ar gyfer dilyn y camau yn y broses asesu a rheoli risg gwybodaeth. Sicrhau bod risgiau gwybodaeth yn cael eu nodi a'u hasesu, bod asesiad effaith yn cael ei gynnal, bod opsiynau trin risg yn cael eu pennu, bod rheolaethau priodol yn cael eu dewis a bod monitro ac adolygu parhaus.
Meini prawf perfformiad
Mae'n rhaid eich bod chi'n gallu:
- cynnal asesiadau risg diogelwch gwybodaeth sy'n nodi ac yn asesu risgiau posibl o ran pa mor debygol y maent o ddigwydd
- dadansoddi'r risgiau a nodwyd i asesu eu heffaith bosibl ar asedau gwybodaeth a phenderfynu a ydynt o fewn lefelau sefydliadol penodedig o ran goddef risg diogelwch gwybodaeth
- nodi'n gywir yr ystod o gamau ymateb y gellir eu defnyddio i liniaru neu reoli risgiau diogelwch gwybodaeth a chymhwyso'r rhain mewn senarios risg uchel yn unol â safonau sefydliadol
- cyfrannu at ddatblygu a chynnal cynlluniau rheoli risg diogelwch gwybodaeth a ddefnyddir i liniaru risgiau yn unol â safonau mewnol ac allanol perthnasol
- adolygu’n rheolaidd y bygythiadau presennol a phosibl i ddiogelwch gwybodaeth y sefydliad, gan ddadansoddi tueddiadau ac amlygu materion diogelwch gwybodaeth y mae angen mynd i’r afael â hwy
- paratoi a lledaenu adroddiadau cudd-wybodaeth am fygythiadau diogelwch gwybodaeth gan ddarparu dangosyddion bygythiad a rhybuddion yn unol â safonau sefydliadol
- dadansoddi'r canfyddiadau o weithgareddau asesu risg a rheoli diogelwch gwybodaeth a’u cyflwyno’n glir i noddwyr a rhanddeiliaid
Gwybodaeth a Dealltwriaeth
You need to know and understand:
- bod asesu a rheoli risg diogelwch gwybodaeth yn cyfeirio at y prosesau o ddogfennu pa wybodaeth sydd mewn perygl, math a lefel y risg honno, ac effaith y risg pe byddai’n cael ei gwireddu
- sut i gynnal asesiad o risg diogelwch gwybodaeth
- bod gwybodaeth yn ased sefydliadol sydd â gwerth, a allai fod yn gymharol, gan olygu y gellir ei dosbarthu i adlewyrchu ei phwysigrwydd i’r sefydliad
- bod gwybodaeth yn agored i niwed oherwydd bygythiadau i systemau gwybodaeth
- bod gan y wybodaeth honno rinweddau sy’n ymwneud â chyfrinachedd, meddiant neu reolaeth, uniondeb, dilysrwydd, argaeledd, a defnyddioldeb, a bod unrhyw un o’r rhain yn gallu ei gwneud yn agored i ymosodiad
- efallai y bydd angen diogelu’r wybodaeth a rhai o’r rhesymau pam y mae’n rhaid i’r cam diogelu hwnnw ddigwydd, gan gynnwys ysgogwyr cyfreithiol a rheoleiddiol, hawliau cwsmeriaid neu amcanion sefydliadol
- bod gan wybodaeth gylch bywyd, o'i chreu i'w dileu, efallai y bydd angen cam diogelu ac y gallai newid drwy gydol y cylch bywyd hwn
- sut i ddatblygu cynllun rheoli risg diogelwch gwybodaeth a'i gynnal
- yr ystod o ymagweddau y gellir eu cymryd mewn gweithgareddau asesu a rheoli risg diogelwch gwybodaeth a pha mor briodol yw'r rhain mewn ystod o gyd-destunau busnes
- y ffactorau mewnol ac allanol a allai effeithio ar weithgareddau rheoli risg diogelwch gwybodaeth
- y rheoliadau, y ddeddfwriaeth, a’r safonau mewnol ac allanol a allai fod yn berthnasol i weithgareddau asesu a rheoli risg diogelwch gwybodaeth
- y dylai gweithgareddau rheoli risg gael eu cynllunio fel gweithgareddau parhaus/cylchol