Agenda item

Asesiad Risg Corfforaethol 2023

Cofnodion:

Pwrpas yr adroddiad hwn oedd rhoi Asesiad Risg Corfforaethol 2023-24 wedi ei ddiweddaru i'r Pwyllgor.

 

Ar hyn o bryd mae 11 risg ar y Gofrestr Risg Gorfforaethol ac mae pob un o'r risgiau hynny wedi cael ei hadolygu gan y Bwrdd Rheoli Corfforaethol.

 

Mae camau lliniaru yn parhau i fod ar waith ac ni wnaed unrhyw newidiadau i gategorïau’r risgiau ers yr adolygiad ym mis Ionawr 2023.

 

Nodwyd mewn cyfarfod blaenorol bod ar yr Aelodau eisiau gweld gwelliannau yng nghyflwyniad y ddogfen. Mae rhaglen feddalwedd rheoli risg newydd wrthi’n cael ei phrofi ar hyn o bryd a gallai hyn wella ansawdd yr adroddiad fel y gallwn edrych ar dargedau, dyddiadau a chynlluniau gweithredu a hefyd ei gwneud yn gliriach lle mae newidiadau wedi cael eu gwneud i'r asesiadau risg corfforaethol. Gobeithir y bydd adroddiad newydd ar gael i’r Aelodau pan gyflwynir yr Asesiad Risg Corfforaethol nesaf i'r Pwyllgor.

 

Fel rhan o'r broses o amlygu'r risgiau i Aelodau, rhoddodd  Rheolwr y Gr?p TGCh gyflwyniad ar seiberddiogelwch.

 

Er mwyn tanlinellu pwysigrwydd y mater, a phryder cyfredol penodol, tynnodd sylw at y ffaith fod porth diogelwch e-bost y Cyngor yn rhwystro 450 o e-byst gwe-rwydo bob dydd.

 

Gan ddefnyddio 10 Cam at Seiberddiogelwch, gan y Ganolfan Seiberddiogelwch Genedlaethol, i strwythuro ei gyflwyniad, trafododd y materion a ganlyn:

 

1.     Rheoli Risg – mabwysiadu dull seiliedig ar risg o ddiogelu data a systemau.

2.     Ymgysylltu a Hyfforddiant – adeiladu diogelwch ar y cyd sy’n gweithio i’r bobl yn y sefydliad.

3.     Rheoli Asedau – gwybod pa ddata a systemau sydd gennym a pha anghenion busnes y maent yn eu cefnogi.

4.     Pensaernïaeth a Chyfluniad – dylunio, adeiladu, cynnal a rheoli systemau yn ddiogel.

5.     Rheoli’r hyn sy’n Agored i Niwed – diogelu systemau drwy gydol eu hoes. Dylid nodi bod archwiliad mewnol rhanbarthol diweddar ar y maes gwaith hwn wedi derbyn barn archwilio o sicrwydd sylweddol.

6.     Rheoli Hunaniaeth a Mynediad – rheoli pwy a beth all gael mynediad at systemau a data.

7.     Diogelwch Data – diogelu data lle mae’n agored i niwed.

8.     Cofnodi a Monitro – dylunio systemau i allu canfod ac ymchwilio i ddigwyddiadau.

9.     Rheoli Digwyddiad – cynllunio ymateb i ddigwyddiadau seiber ymlaen llaw.

10.Diogelwch y Gadwyn Gyflenwi – cydweithio â chyflenwyr a phartneriaid.

 

Mewn ymateb i'r cyflwyniad, gofynnodd Aelod sut yr ydym yn gwneud copi wrth gefn o'n systemau. Atebodd y Rheolwr Gr?p TGCh drwy ddweud bod systemau’r Cyngor yn cael eu rhedeg, o ddydd i ddydd, allan o’r ganolfan ddata ym Mhen-y-bont ar Ogwr, ond bod gan y Cyngor hefyd gytundeb cyd-gynnal gyda Rhondda Cynon Taf. Roedd holl ddata’r Cyngor yn cael ei gadw ar gopi wrth gefn cydamserol, byw, yng Nghanolfan Ddata Cwm Rhondda.

 

Cododd Aelod arall fater hyfforddiant a chadw i fyny â datblygiadau fel AI, codau QR ffug, a chamddefnyddio hunaniaeth bersonol. Atebodd Rheolwr y Gr?p TGCh drwy bwysleisio bod hwn yn fygythiad sy’n newid yn gyson a bod angen ymdrin â’r ffordd yr ydym yn addysgu staff am seiberddiogelwch. Awgrymodd y gallai siarad â'i reolwr llinell a'r Prif Swyddog - Cyllid, Perfformiad a Newid i symud hynny ymlaen ac adrodd yn ôl.

 

Tynnodd y Cadeirydd sylw hefyd at fater hyfforddiant ac yn benodol, sicrhau bod staff yn ymgymryd ag ef a bod tystiolaeth i ddangos hynny. Nododd fod rhai awdurdodau yn tynnu mynediad at gyfleusterau cyfrifiadurol yn ôl oddi ar staff oedd heb gwblhau hyfforddiant. Tynnodd sylw hefyd at y mater a ddygwyd i sylw’r Cyngor gan Archwilio Cymru ynghylch bocsys cardbord yn cael eu gadael yn ystafell y gweinydd, gan achosi perygl posibl o dân.

 

Tynnodd Aelod Lleyg sylw at fater parhad busnes mewn ymateb i seiberdroseddu, ac agwedd yr awdurdod at ddefnyddio cyfrifiadura yn y cwmwl, yn enwedig o ran llywodraethu mewnol.

 

Yn ei ateb, nododd  Rheolwr y Gr?p TGCh fod cyfrifiadura yn y cwmwl, fel y defnydd o Dimau Microsoft er enghraifft, yn cael ei ddefnyddio'n helaeth gan y Cyngor, a bod ar Lywodraeth Cymru eisiau i awdurdodau lleol fabwysiadu agwedd ‘Cwmwl yn gyntaf’ at gyfrifiadura.

 

O ran llywodraethu mewnol, mae gan y Cyngor Fwrdd Trawsnewid Digidol i gymeradwyo pob system TGCh newydd. Mae'r profforma ar gyfer cynnig system newydd yn gofyn a yw'n seiliedig ar y Cwmwl. Mae'r Aelodaeth bresennol yn cynnwys swyddogion, gyda chynrychiolwyr o bob cyfarwyddiaeth. Y Prif Swyddog - Cyllid, Perfformiad a Newid sy'n ei gadeirio. Awgrymwyd y gellid cylchredeg yr aelodaeth bresennol i'r Aelodau.

 

O ran y ffordd y byddai'r Cyngor yn ymadfer mewn ymateb i ymosodiad llwyddiannus ar seiberddiogelwch, pwysleisiodd Rheolwr y Gr?p TGCh fod yna gynllun parhad busnes helaeth yn ei le.

 

Daeth y Cadeirydd â’r eitem hon i ben drwy ofyn a ydy Llywodraeth Cymru, o ystyried ei bod yn dymuno i awdurdodau lleol fod yn seiliedig ar y Cwmwl, yn darparu unrhyw arian grant ychwanegol i gefnogi’r fenter honno. Nododd Rheolwr y Gr?p TGCh fod arian grant ar gael, fel arfer ar gyfer datblygiadau arloesol mewn cydweithrediad â phartner, ond bod rhaid i unrhyw beth y mae ar y Cyngor eisiau ei wneud ddod allan o'i gyllideb ef ei hun.

 

Diolchodd y Cadeirydd i Reolwr y Gr?p TGCh am roi'r cyflwyniad ac ateb y cwestiynau mewn ffordd dryloyw.

 

Cododd Aelod fater ychwanegol, nad oedd yn gysylltiedig â’r cyflwyniad. Roedd yn ymwneud â phennu cyllideb gadarn a’r risgiau oedd yn gysylltiedig â hynny. Yn benodol, tynnodd sylw at y materion llywodraethu sy'n ymwneud â'r broses, a'r ffaith nad oes gan y Cyngor bolisi i alluogi cynghorwyr nad ydynt yn gysylltiedig â'r Cabinet i wneud argymhellion neu roi cyllideb wahanol gerbron. Nododd ei fod yn credu'n gryf y gallai pob un o'r 51 cynghorydd ddod o hyd i syniadau da a fyddai'n gymorth i'r awdurdod hwn i osod cyllideb gytbwys a chadarn ond nad oes gan yr awdurdod brosesau yn eu lle ar hyn o bryd a fyddai'n galluogi hynny i ddigwydd.

 

Mewn ymateb i hyn, cytunai’r Prif Swyddog Cyllid, Perfformiad a Newid ei bod yn risg os nad oedd pob Cynghorydd wedi cael cyfle i wneud sylwadau ar yr hyn oedd yn cael ei wneud. Mae rhywfaint o waith yn mynd rhagddo i weld beth y gellir ei wneud i gefnogi grwpiau gwleidyddol os oes arnynt eisiau cyflwyno cynigion cyllidebol. Mae rhywfaint ohono’n ymwneud â’r adnoddau a’r capasiti sydd gan swyddogion i wneud hynny, yn ogystal ag amseru, ac ar hyn o bryd nid oes capasiti i alluogi pob un o’r pum deg un o aelodau pe bai arnynt i gyd eisiau cyflwyno eu cynigion cyllideb eu hunain. Ceisiodd roi sicrwydd i'r Aelod bod y mater yn derbyn sylw.

 

Awgrymodd y Cadeirydd fod yna faterion yma ar gyfer y Swyddog Monitro a materion llywodraethu yn ymwneud â Chyfansoddiad yr awdurdod. Roedd yn gobeithio y byddai'r Aelodau'n caniatáu i'r Prif Swyddog Cyllid, Perfformiad a Newid ddod o hyd i ateb i'r mater hwn.

 

Siaradodd Aelod arall o blaid y farn y dylid sicrhau bod cymorth priodol ar gael gan swyddogion ar gyfer cyllidebau gwahanol, a bod y Cyfansoddiad yn glir bod gan grwpiau’r gwrthbleidiau hawl i gyflwyno cynigion cyllideb gwahanol a’i bod yn amlwg y dylent gael cymorth priodol gan swyddogion ar gyfer hynny. Ar hyn o bryd, mae diffyg cysylltiad rhwng yr hyn y mae’r Cyfansoddiad yn ei ganiatáu i ddigwydd a pha mor ymarferol yw gwneud i hynny ddigwydd.

PENDERFYNWYD:         Fe wnaeth y Pwyllgor ystyried a nodi’r Asesiad Risg Corfforaethol 2023-24 (Atodiad A).

Dogfennau ategol: