बैंकों में IT सुरक्षा और ISO 27001: 2026 IIBF गाइड

ITSEC 29 जून 2026 · 8 मिनट का पाठ · 3 व्यूज़ Read in English

आईटी सुरक्षा

2026 में एक भारतीय बैंकर के लिए, IT सुरक्षा अब केवल बैक-ऑफिस का IT मामला नहीं रही — यह एक बोर्ड-स्तरीय, नियामक-निगरानी वाला अनुशासन है जो जमाओं, ग्राहक विश्वास और बैंक के परिचालन लाइसेंस की रक्षा करता है। फ़िशिंग से प्रेरित UPI धोखाधड़ी से लेकर कोर बैंकिंग सिस्टम पर रैंसमवेयर तक, अब हर खतरे की एक प्रत्यक्ष वित्तीय और प्रतिष्ठा-संबंधी कीमत है। IIBF का IT सुरक्षा में सर्टिफिकेट (और JAIIB/CAIIB के भीतर IT एवं साइबर सुरक्षा पेपर) ठीक इसी की परीक्षा लेता है: कैसे एक बैंक एक नियंत्रित, लचीले सूचना-सुरक्षा वातावरण का निर्माण, संचालन और ऑडिट करता है।

यह गाइड उन दो स्तंभों को सरल बनाती है जिनकी परीक्षक सबसे अधिक परवाह करते हैं — RBI का साइबर-सुरक्षा ढाँचा और सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) के लिए अंतरराष्ट्रीय मानक ISO/IEC 27001। हम दोनों को वास्तविक भारतीय बैंकिंग व्यवहार से जोड़ते हैं ताकि आप बज़वर्ड रटने के बजाय परिदृश्य-आधारित प्रश्नों का आत्मविश्वास से उत्तर दे सकें। चाहे आप JAIIB कोर्स कर रहे हों या विशेषज्ञ सर्टिफिकेट, नीचे दी गई अवधारणाएँ हर हाल के पेपर में दोहराई जाती हैं।

अंत तक आप CIA त्रयी, ISO 27001 नियंत्रण परिवारों, 2016 के साइबर-सुरक्षा परिपत्र के तहत RBI की अपेक्षाओं, और CERT-In द्वारा अब लागू की जा रही घटना-रिपोर्टिंग समय-सीमाओं को समझ जाएँगे। इस पाठ को हमारे मॉक टेस्ट पर समयबद्ध अभ्यास के साथ जोड़कर अंक पक्के करें।

बैंक में IT सुरक्षा का वास्तविक अर्थ

अपने मूल में, IT सुरक्षा सूचना के तीन गुणों की रक्षा करती है, जिन्हें शास्त्रीय CIA त्रयी में दर्शाया गया है:

गोपनीयता (Confidentiality) — केवल अधिकृत व्यक्ति ही ग्राहक और लेन-देन डेटा देख सकें। यहाँ उल्लंघनों में डेटा लीक, अनधिकृत डेटाबेस एक्सेस और अंदरूनी ताक-झाँक शामिल हैं।
अखंडता (Integrity) — डेटा सटीक और अपरिवर्तित हो। एक छेड़छाड़ किया गया लाभार्थी खाता नंबर या एक हेरफेर किया गया ऋण रिकॉर्ड अखंडता को नष्ट कर देता है।
उपलब्धता (Availability) — आवश्यकता पड़ने पर सिस्टम उपयोग योग्य हों। एक DDoS हमला या रैंसमवेयर जो कोर बैंकिंग को लॉक कर देता है, उपलब्धता का उल्लंघन करता है।

परीक्षक अक्सर सहायक लक्ष्यों के रूप में प्रमाणीकरण, प्राधिकरण, अप्रतिनिग्रहण (non-repudiation) और जवाबदेही को जोड़ते हैं। भारतीय बैंकिंग में ये ठोस नियंत्रणों में बदल जाते हैं: इंटरनेट और मोबाइल बैंकिंग पर दो-कारक प्रमाणीकरण (RBI अधिदेश), मेकर-चेकर वर्कफ़्लो, IT अधिनियम 2000 के तहत डिजिटल हस्ताक्षर, और छेड़छाड़-स्पष्ट ऑडिट लॉग। एक उपयोगी परीक्षा ढाँचा है स्तरित "डिफ़ेंस इन डेप्थ" मॉडल — भौतिक सुरक्षा, नेटवर्क सुरक्षा, होस्ट सुरक्षा, एप्लिकेशन सुरक्षा और डेटा सुरक्षा को इस तरह एक के ऊपर एक रखा गया कि कोई एकल विफलता बैंक को उजागर न करे। रिज़र्व बैंक इसे अपनी गोपालकृष्ण समिति की सिफ़ारिशों और 2016 के साइबर-सुरक्षा ढाँचे के माध्यम से सुदृढ़ करता है, जो दोनों प्रश्नों के लगातार स्रोत हैं। एक नियंत्रण क्यों मौजूद है, न कि केवल उसका नाम — यह समझना ही 60% स्कोर को 90% से अलग करता है।

ISO 27001 और ISMS ढाँचा

ISO/IEC 27001 एक सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) के लिए विश्व-स्तर पर मान्यता प्राप्त मानक है — सुरक्षा को प्रबंधित करने का एक संरचित, जोखिम-आधारित और निरंतर सुधार करने वाला तरीका। इसकी ताकत है प्लान-डू-चेक-एक्ट (PDCA) चक्र: आप जोखिम मूल्यांकन के आधार पर नियंत्रणों की योजना बनाते हैं, उन्हें लागू करते हैं, निगरानी और ऑडिट करते हैं, फिर निष्कर्षों पर कार्रवाई करते हैं। कई बड़े भारतीय बैंक और उनके डेटा सेंटर ठीक इसलिए ISO 27001 प्रमाणन रखते हैं क्योंकि यह नियामकों, भागीदारों और ग्राहकों को अनुशासन का संकेत देता है।

वर्तमान 2022 संशोधन 93 नियंत्रणों को चार विषयों में व्यवस्थित करता है: संगठनात्मक, मानवीय (people), भौतिक और तकनीकी। प्रमुख विचार जिन्हें IIBF परखना पसंद करता है, उनमें शामिल हैं:

जोखिम मूल्यांकन और उपचार — संपत्तियों, खतरों और कमज़ोरियों की पहचान करें, फिर प्रत्येक जोखिम को स्वीकार करें, टालें, हस्तांतरित करें या कम करें।
लागू-योग्यता का विवरण (Statement of Applicability, SoA) — वह दस्तावेज़ जो यह उचित ठहराता है कि कौन-से नियंत्रण लागू होते हैं।
एक्सेस नियंत्रण — न्यूनतम विशेषाधिकार, भूमिका-आधारित एक्सेस और आवधिक समीक्षा।
क्रिप्टोग्राफी, संपत्ति प्रबंधन, आपूर्तिकर्ता सुरक्षा और घटना प्रबंधन।

महत्वपूर्ण बात यह है कि ISO 27001 प्रबंधन-नेतृत्व वाला है, न कि एक बार का IT प्रोजेक्ट। प्रमाणन के लिए एक स्टेज 1 दस्तावेज़ीकरण ऑडिट, एक स्टेज 2 कार्यान्वयन ऑडिट, और वार्षिक निगरानी ऑडिट की आवश्यकता होती है। एक बैंकर के लिए सीख यह है कि सुरक्षा शीर्ष स्तर पर शासित, मापी और स्वामित्व वाली होती है — एक ऐसा विषय जो CAIIB पाठ्यक्रम में भी बार-बार आता है।

बैंक IT सुरक्षा के लिए ISO 27001 ISMS प्लान-डू-चेक-एक्ट चक्र — PDCA चक्र बैंक की ISMS को निरंतर बेहतर बनाए रखता है।

बैंकों के लिए RBI का साइबर-सुरक्षा ढाँचा

रिज़र्व बैंक के ऐतिहासिक "बैंकों में साइबर सुरक्षा ढाँचा" परिपत्र (2 जून 2016) ने व्यापक IT नीति से अलग, एक बोर्ड-अनुमोदित साइबर-सुरक्षा नीति को अनिवार्य बना दिया। इसने यह विचार प्रस्तुत किया कि सुरक्षा व्यय और नियंत्रण प्रत्येक बैंक के जोखिम प्रोफ़ाइल के अनुसार बढ़ने चाहिए, और इसने आकार की परवाह किए बिना हर बैंक के लिए नियंत्रणों का एक आधारभूत सेट आवश्यक किया।

प्रमुख दायित्व जिन्हें परीक्षा आपसे जानने की अपेक्षा करती है:

निरंतर निगरानी के लिए एक साइबर सुरक्षा परिचालन केंद्र (C-SOC)।
किसी असामान्य साइबर घटना का पता चलने के 2 से 6 घंटों के भीतर RBI को घटना की रिपोर्टिंग।
पहचान, प्रतिक्रिया, पुनर्प्राप्ति और रोकथाम को कवर करने वाली एक साइबर संकट प्रबंधन योजना (CCMP)।
आधारभूत नियंत्रणों के विरुद्ध अंतराल मूल्यांकन और साइबर-सुरक्षा तत्परता संकेतकों के लिए व्यवस्थाएँ।

RBI ने वर्षों में और मार्गदर्शन जोड़ा है — डिजिटल भुगतान सुरक्षा नियंत्रण (2021), IT शासन और आउटसोर्सिंग (2023), और मास्टर निर्देश जो इन सूत्रों को एक साथ बाँधते हैं। सहकारी बैंक और NBFC अब अपने स्वयं के श्रेणीबद्ध, स्तरित ढाँचों का सामना करते हैं। करेंट-अफ़ेयर्स प्रश्नों के लिए, फ़िशिंग-प्रतिरोधी प्रमाणीकरण और NPCI के माध्यम से कार्ड डेटा के टोकनीकरण पर RBI के ज़ोर को भी ट्रैक करें। नवीनतम अधिसूचनाओं पर नज़र रखें हमारे IIBF समाचार अपडेट और आधिकारिक RBI वेबसाइट के माध्यम से, क्योंकि साइबर नियम अधिकांश बैंकिंग विषयों की तुलना में तेज़ी से विकसित होते हैं।

CERT-In, घटना प्रतिक्रिया और भारतीय कानून

CERT-In (भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया दल), जो IT अधिनियम 2000 और इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय के अधीन कार्य करता है, साइबर घटनाओं के लिए राष्ट्रीय नोडल एजेंसी है। इसके अप्रैल 2022 के निर्देश अत्यधिक परीक्षा-योग्य हैं: बैंकों सहित संगठनों को निर्दिष्ट साइबर घटनाओं की पता चलने के 6 घंटों के भीतर रिपोर्ट करनी होगी, सिस्टम घड़ियों को NPL/NIC समय से समकालिक करना होगा, और लॉग को निरंतर 180 दिनों तक संग्रहीत करना होगा। आप रिपोर्ट-योग्य घटनाओं की वर्तमान सूची आधिकारिक CERT-In पोर्टल पर सत्यापित कर सकते हैं।

एक सशक्त उत्तर सुरक्षा को कानूनी रीढ़ से भी जोड़ता है:

IT अधिनियम 2000 (2008 में संशोधित) — डिजिटल हस्ताक्षरों की कानूनी मान्यता, और हैकिंग (धारा 66) तथा पहचान चोरी जैसे अपराध।
डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम 2023 — डेटा फ़िड्यूशियरी के रूप में बैंकों पर दायित्व, जिसमें उल्लंघन की सूचना और सहमति शामिल हैं।
अनधिकृत इलेक्ट्रॉनिक लेन-देन के लिए ग्राहक देयता पर RBI / NPCI नियम (तुरंत रिपोर्ट करने पर शून्य देयता)।

परिचालन स्तर पर, बैंक एक सुरक्षा परिचालन केंद्र (Security Operations Centre), SIEM उपकरण, कमज़ोरी मूल्यांकन और पैठ परीक्षण (VAPT), तथा रेड-टीम अभ्यास चलाते हैं। घटना प्रतिक्रिया परिचित चरणों का अनुसरण करती है — तैयारी, पहचान, रोकथाम, उन्मूलन, पुनर्प्राप्ति और सीखे गए सबक। इन संक्षिप्तियों को हमारे मैच गेम पर त्वरित स्मरण अभ्यास के साथ सुदृढ़ करें; ये परीक्षा के दबाव में आसान अंकों में बदल जाते हैं।

भारत में साइबर घटनाओं की निगरानी करता बैंक सुरक्षा परिचालन केंद्र — एक साइबर सुरक्षा परिचालन केंद्र RBI-अनिवार्य निगरानी का आधार बनता है।

परीक्षा रणनीति: IT सुरक्षा पर अंक बटोरना

इस विषय पर IIBF प्रश्न तीन श्रेणियों में बँटते हैं: परिभाषाएँ (CIA त्रयी, ISMS, मैलवेयर के प्रकार), मानक और विनियमन (ISO 27001 नियंत्रण, RBI 2016 ढाँचा, CERT-In समय-सीमाएँ), और परिदृश्य (कौन-सा नियंत्रण किसी दिए गए हमले को रोकता है)। अपना स्कोर बढ़ाने का सबसे तेज़ तरीका है आँकड़ों को पक्का याद करना: ISO 27001:2022 में 4 विषयों में 93 नियंत्रण; CERT-In की 6-घंटे की रिपोर्टिंग और 180-दिन की लॉग संग्रहण; RBI की 2-से-6-घंटे की घटना रिपोर्टिंग। ISO 27001 (प्रबंधन मानक) को ISO 27002 (कार्यान्वयन मार्गदर्शन) के साथ न भ्रमित करें — परीक्षक इस अंतर को परखते हैं।

प्रत्येक हमले के प्रकार को उसके बचाव से जोड़ती हुई एक-पृष्ठ की चीट शीट बनाएँ: फ़िशिंग को उपयोगकर्ता जागरूकता और 2FA से, रैंसमवेयर को बैकअप और सेगमेंटेशन से, SQL इंजेक्शन को इनपुट सत्यापन से, DDoS को स्क्रबिंग और रेट-लिमिटिंग से। फिर इसे लागू करने का अभ्यास करें। हमारे RBI दरें पृष्ठ पर चयनित करेंट-अफ़ेयर्स और दर संदर्भ आपको विनियमन प्रश्नों को आधार देने में मदद करते हैं, और हमारा बैंकिंग ब्लॉग नए परिपत्रों को जैसे ही वे आते हैं, ट्रैक करता है।

अक्सर पूछे जाने वाले प्रश्न

ISO 27001 और ISO 27002 के बीच क्या अंतर है?

ISO 27001 प्रमाणन-योग्य प्रबंधन मानक है जो जोखिम मूल्यांकन और लागू-योग्यता के विवरण सहित एक सूचना सुरक्षा प्रबंधन प्रणाली की आवश्यकताओं को निर्दिष्ट करता है। ISO 27002 एक सहायक आचार-संहिता है जो नियंत्रणों के लिए विस्तृत कार्यान्वयन मार्गदर्शन देती है। बैंक 27001 के विरुद्ध प्रमाणित होते हैं और 27002 का उपयोग एक कैसे-करें संदर्भ के रूप में करते हैं।

भारत में एक बैंक को कितने घंटों के भीतर साइबर घटना की रिपोर्ट करनी चाहिए?

CERT-In के अप्रैल 2022 के निर्देशों के तहत, बैंकों सहित संगठनों को निर्दिष्ट साइबर घटनाओं की पता चलने के 6 घंटों के भीतर रिपोर्ट करनी होगी। अलग से, RBI का 2016 साइबर-सुरक्षा ढाँचा बैंकों से अपेक्षा करता है कि वे असामान्य साइबर घटनाओं की रिज़र्व बैंक को पता चलने के लगभग 2 से 6 घंटों के भीतर, गंभीरता के आधार पर, रिपोर्ट करें।

IT सुरक्षा में CIA त्रयी क्या है?

CIA त्रयी सूचना सुरक्षा का मूल मॉडल है: गोपनीयता (Confidentiality) सुनिश्चित करती है कि केवल अधिकृत व्यक्ति ही डेटा तक पहुँचें, अखंडता (Integrity) सुनिश्चित करती है कि डेटा सटीक और अपरिवर्तित हो, और उपलब्धता (Availability) सुनिश्चित करती है कि आवश्यकता पड़ने पर सिस्टम उपयोग योग्य हों। अधिकांश बैंकिंग सुरक्षा नियंत्रण — एन्क्रिप्शन, एक्सेस नियंत्रण, बैकअप और DDoS सुरक्षा — सीधे इन तीन गुणों में से एक या अधिक से जुड़ते हैं।

क्या भारतीय बैंकों के लिए ISO 27001 अनिवार्य है?

ISO 27001 कानूनी रूप से अनिवार्य नहीं है, लेकिन RBI का 2016 साइबर-सुरक्षा ढाँचा प्रभावी रूप से समतुल्य ISMS अनुशासन की आवश्यकता रखता है, और कई बैंक तथा उनके डेटा सेंटर परिपक्वता प्रदर्शित करने के लिए स्वेच्छा से प्रमाणित होते हैं। RBI मास्टर निर्देशों, IT अधिनियम 2000 और CERT-In नियमों का अनुपालन अनिवार्य है, इसलिए बैंक अपने ISO-आधारित नियंत्रणों को इन नियामक अपेक्षाओं के साथ संरेखित करते हैं।

अंतिम निष्कर्ष

बैंकिंग में IT सुरक्षा एक अंतरराष्ट्रीय स्तर पर सिद्ध ढाँचे (ISO 27001 की जोखिम-आधारित ISMS) का भारत-विशिष्ट विनियमन (RBI का 2016 साइबर ढाँचा, CERT-In का 6-घंटे का नियम, IT अधिनियम और DPDP अधिनियम 2023) के साथ मेल है। आँकड़ों में महारत हासिल करें, हर हमले को उसके नियंत्रण से जोड़ें, और आप परिभाषा, विनियमन और परिदृश्य प्रश्नों को समान सहजता से संभाल लेंगे। ख़ुद को परखने के लिए तैयार हैं? हमारे IIBF मॉक टेस्ट पर एक समयबद्ध पेपर शुरू करें और बैंक IT सुरक्षा की गहरी, परीक्षा-तैयार पकड़ बनाने के लिए CAIIB कोर्स में नामांकन करें।

अभ्यास के लिए तैयार हैं?

मुफ़्त मॉक टेस्ट दें, चैप्टर PDF डाउनलोड करें या वीडियो क्लास देखें — सब iibf.store पर मुफ़्त है।

मुफ़्त मॉक टेस्ट दें गेम खेलें · सिक्के कमाएँ और लेख पढ़ें