सुरक्षा नीति

1. उद्देश्य

इस सुरक्षा नीति का उद्देश्य आघारकर  अनुसंधान संस्थान की भौतिक, डिजिटल और बौद्धिक संपदा की सुरक्षा के लिए एक व्यापक ढांचा स्थापित करना है। यह नीति संस्थागत संसाधनों के अनधिकृत उपयोग, डेटा उल्लंघन (data breach), चोरी और क्षति को रोकने के लिए आवश्यक सिद्धांतों, जिम्मेदारियों और प्रक्रियाओं की रूपरेखा तैयार करती है।

 2.कार्यक्षेत्र

यह नीति निम्नलिखित पर लागू होती है:

• सभी कर्मचारी, अनुसंधानकर्ता, छात्र, ठेकेदार और आगंतुक।
• सभी संस्थागत सुविधाएं, नेटवर्क, प्रणालियाँ और उपकरण।

 डेटा के सभी रूप, जिनमें शोध, प्रशासनिक, व्यक्तिगत और मालिकाना जानकारी शामिल है।

 3.सुरक्षा उद्देश्य

• डेटा और प्रणालि की गोपनीयता, अखंडता और उपलब्धता सुनिश्चित करना।
• कर्मियों, अनुसंधान संपत्तियों और बुनियादी ढांचे को भौतिक और साइबर खतरों से बचाना।
• कानूनी, नियामक और वित्तपोषण एजेंसी (funding agency) की आवश्यकताओं का अनुपालन सुनिश्चित करना।
• पूरे संस्थान में सुरक्षा जागरूकता और जिम्मेदारी की संस्कृति को बढ़ावा देना।

 4.भौतिक सुरक्षा

4.1 सुविधा पहुंच नियंत्रण (Facility Access Control)

• संवेदनशील क्षेत्रों (जैसे, अनुसंधान प्रयोगशालाएं, सर्वर रूम) तक पहुंच केवल अधिकृत कर्मियों तक ही सीमित है।
• जहां लागू हो, प्रवेश के लिए आईडी कार्ड, बायोमेट्रिक्स या पिन का उपयोग।
• आगंतुकों का पंजीकरण अनिवार्य है, उन्हें साथ ले जाना (escort) होगा और अस्थायी प्रवेश पहचान-पत्र जारी किए जाएंगे।

 4.2 निगरानी और अनुश्रवण

• सुरक्षा कर्मियों द्वारा निगरानी किए जाने वाले प्रमुख क्षेत्रों में सीसीटीवी (CCTV) प्रणाली।
• सुरक्षा कर्मचारियों द्वारा सुविधाओं की नियमित गश्त और निरीक्षण।

4.3 संपत्ति संरक्षण

• अनुसंधान उपकरणों और संस्थागत संपत्तियों को टैग किया जाना चाहिए और उनका लेखा-जोखा (inventory) रखा जाना चाहिए।
• उपयोग में न होने पर पोर्टेबल उपकरणों को सुरक्षित रूप से संग्रहीत किया जाना चाहिए।

 5.सूचना सुरक्षा

5.1 उपयोगकर्ता पहुंच नियंत्रण

• सभी उपयोगकर्ताओं के पास अद्वितीय प्रमाण-पत्र (credentials) और उचित पहुंच अधिकार होने चाहिए।
• पहुंच अधिकारों की समय-समय पर समीक्षा की जाती है और भूमिका परिवर्तन या विदाई पर तुरंत वापस ले लिया जाता है।
• महत्वपूर्ण प्रणालियों तक पहुंच के लिए बहु-घटक प्रमाणीकरण (MFA) अनिवार्य है।

5.2 डेटा सुरक्षा

• अनुसंधान डेटा और व्यक्तिगत जानकारी को सुरक्षित रूप से संग्रहीत किया जाना चाहिए और जहां उपयुक्त हो, गोपनीयकरण (encrypt) किया जाना चाहिए।
• डेटा बैकअप नियमित रूप से लिया जाता है और सुरक्षित, ऑफसाइट/क्लाउड स्थानों में संग्रहीत किया जाता है।
• संवेदनशील डेटा को बिना अनुमति के असुरक्षित व्यक्तिगत उपकरणों या सार्वजनिक क्लाउड प्लेटफॉर्म पर संग्रहीत नहीं किया जाना चाहिए।

5.3 नेटवर्क सुरक्षा

•  फायरवॉल, घुसपैठ का पता लगाने/रोकने वाली प्रणाली (IDS/IPS) और एंटीवायरस सॉफ़्टवेयर स्थापित होने चाहिए और नियमित रूप से अपडेट किए जाने चाहिए।
• वाई-फाई नेटवर्क अलग-अलग (जैसे, सार्वजनिक बनाम आंतरिक उपयोग) और मजबूत एन्क्रिप्शन के साथ सुरक्षित होने चाहिए।
• नियमित भेद्यता स्कैन (vulnerability scans) और पेनेट्रेशन टेस्टिंग आयोजित की जाती है।

5.4 सॉफ्टवेयर और सिस्टम सुरक्षा

• संस्थान के उपकरणों पर केवल अधिकृत सॉफ्टवेयर ही स्थापित किए जा सकते हैं।
• ऑपरेटिंग सिस्टम और सॉफ्टवेयर को नियमित रूप से अपडेट और पैच किया जाना चाहिए।

 सभी वर्कस्टेशन और सर्वर पर ‘एंडपॉइंट प्रोटेक्शन’ टूल अनिवार्य हैं।

 6.साइबर सुरक्षा जागरूकता और प्रशिक्षण

• सभी कर्मचारियों, छात्रों और अनुसंधानकर्ताओं के लिए अनिवार्य वार्षिक साइबर सुरक्षा प्रशिक्षण।
• फिशिंग, पासवर्ड स्वच्छता और डेटा हैंडलिंग पर नियमित जागरूकता अभियान।
• आईटी कर्मचारियों और संवेदनशील डेटा या सिस्टम संभालने वालों के लिए विशेष प्रशिक्षण।

 7.घटना रिपोर्टिंग और प्रतिक्रिया

• सभी सुरक्षा घटनाओं (भौतिक या डिजिटल) की सूचना तुरंत सुरक्षा अधिकारी या आईटी विभाग को दी जानी चाहिए।
• खतरों के प्रबंधन और शमन के लिए एक औपचारिक आपात प्रत्युत्तर योजना लागू है।
• डेटा उल्लंघन की सूचनाएं लागू कानूनों और संस्थागत प्रोटोकॉल के अनुसार दी जाएंगी।

8. अनुपालन और कानूनी आवश्यकताएं

संस्थान निम्नलिखित का अनुपालन करता है:

• स्थानीय और राष्ट्रीय डेटा सुरक्षा कानून (जैसे, जहां लागू हो, GDPR, HIPAA)।
• अनुसंधान वित्तपोषक सुरक्षा नीतियां (जैसे, NIH, NSF, EU Horizon)।
• नैतिकता, बौद्धिक संपदा और गोपनीयता पर संस्थागत नीतियां।

 9.नीति प्रवर्तन

इस नीति के उल्लंघन के परिणामस्वरूप अनुशासनात्मक कार्रवाई हो सकती है, जिसमें पहुंच का निलंबन, औपचारिक जांच और संभावित कानूनी परिणाम शामिल हैं।