金融服务业,对于信息系统的稳定性、数据安全性有严格的标准要求,诺亚为了保证客户数据的隐私性与安全性,建置专业信息安全团队,并发布《诺亚数据安全管理办法》《诺亚信息安全方针与政策》、《诺亚信息安全违规行为处罚管理办法》、《诺亚敏感信息管理规范》、《隐私政策》等政策与管理文件,明确规定运营过程中有关信息安全,及收集客户隐私信息(如联系方式、证件号码等)的使用范围,以及获取、传递、存档、销毁该信息的管理流程,确保营运业务的信息安全。
信息系统中涉及信息安全相关处理的内容,所有的软件设计和开发,均参照《诺亚应用系统安全开发标准》,针对身份认证及访问控制、会话及内容管理、数据加密及屏蔽、防网络钓鱼、安全审计以及代码质量管控等,进行多层级的安全性设计。
信息系统中涉及信息安全相关处理的内容,所有的软件设计和开发,均参照《诺亚应用系统安全开发标准》,针对身份认证及访问控制、会话及内容管理、数据加密及屏蔽、防网络钓鱼、安全审计以及代码质量管控等,进行多层级的安全性设计。
Attestation Report of the Independent Registered Public Accounting Firm
Opinion on Internal Control over Financial Reporting
Opinion on Internal Control over Financial Reporting
We have audited the internal control over financial reporting of Noah Holdings Limited and its subsidiaries and consolidated variable interest entity (the “Group”) as of December 31,2018,based on criteria established in internal Control—Integrated Framework(2013)
issued by the Committee of Sponsoring Organizations of the Treadway Commission(COSO).In our opinion,the Group maintained,in all material respects,effective internal control over financial reporting as of December 31,2018,based on criteria
established in Internal Control—Integrated Framework (2013) issued by COSO.
塞班司法案Sarbanes-Oxley Act审计诺亚控股相关信息请参阅公司年报中的定期披露
为保证客户数据的隐私性与安全性,诺亚建构了专业的信息安全团队,导入并取得ISO 27001及ISO 29151认证,针对客户隐私信息进行严密管控,确保客户数据的安全,以满足国家《网络安全法》、《数据安全法》、《个人信息保护法》 等法律法规对个人信息的保护要求。
2021年,诺亚已根据国家隐私保护的相关法律法规要求,完成隐私保护专项自查工作,对4款面向客户的APP(微笑基金、微诺亚、iNoah 、橄榄大师)和荣耀保险公众号、以诺教育小程序设置了隐私政策并完成了9次版本更新。 同时也在相关APP上,新增了客户在线申请销户功能和收集人脸敏感信息之前单独弹窗要求客户授权的功能,满足隐私保护要求。
另为符合国家《数据安全法》、《个人信息保护法》等法律法规之规范,另针对公司实际情况进行内部对标分析并给管理层提供了风险分析报告,并更新了公司内部相关管理制度,务求合规并有效保护客户个人信息安全
2021年,诺亚已根据国家隐私保护的相关法律法规要求,完成隐私保护专项自查工作,对4款面向客户的APP(微笑基金、微诺亚、iNoah 、橄榄大师)和荣耀保险公众号、以诺教育小程序设置了隐私政策并完成了9次版本更新。 同时也在相关APP上,新增了客户在线申请销户功能和收集人脸敏感信息之前单独弹窗要求客户授权的功能,满足隐私保护要求。
另为符合国家《数据安全法》、《个人信息保护法》等法律法规之规范,另针对公司实际情况进行内部对标分析并给管理层提供了风险分析报告,并更新了公司内部相关管理制度,务求合规并有效保护客户个人信息安全
类别
政策/机制
说明
政策
《诺亚信息安全方针与政策》《隐私政策》
规范运营过程中收集客户隐私信息(如联系方式、证件号码等)的使用范围
办法
《诺亚数据安全管理办法》《诺亚敏感信息管理规范》
规范获取、传递、存档、销毁该信息的管理流程
规范敏感信息的加密和脱敏操作要求
规范敏感信息的加密和脱敏操作要求
管理系统
ISO 27001信息安全管理体系
ISO 29151个人身份信息保护实践指南
ISO 29151个人身份信息保护实践指南
取得ISO 27001认证,保证诺亚在信息安全领域的可靠性,降低泄密风险
取得ISO 29151认证,明确诺亚隐私保护策略、增强隐私保护控制措施
取得ISO 29151认证,明确诺亚隐私保护策略、增强隐私保护控制措施
管理机制
使用客户隐私信息的在线业务场景
部署Web应用防火墙、网络防火墙、主机入侵检测等多个安全防护系统
采取客户信息加密传输机制,对网络攻击行为持续监控并实时预警
通过数据库安全审计系统, 对涉及客户数据安全的异常操作进行监控和审计
由集团安全运维团队集中快速处理网络安全风险
采取客户信息加密传输机制,对网络攻击行为持续监控并实时预警
通过数据库安全审计系统, 对涉及客户数据安全的异常操作进行监控和审计
由集团安全运维团队集中快速处理网络安全风险
《诺亚信息安全方针与政策》
《诺亚正行隐私政策》
《微诺亚隐私政策》
诺亚取得 ISO 27001 & 29151 认证项目
为更好保护内部和客户信息安全,诺亚于2018年启动在2020年并取得了ISO 27001信息安全管理体系、及ISO 29151个人身份信息保护实践指南认证,
更好的保证企业在信息安全领域的可靠性,降低企业泄密风险,更好地保存核心数据,使诺亚客户和内部数据保护措施能够更加系统和全面,及明确隐私保护策略、增强隐私保护控制措施。
诺亚通过四个阶段(分析、实现、运行及验证),对公司存在的风险进行识别与评估,制定了相应的风险处置计划,完成了公司信息安全管理体系制度和流程建设。 已于2020年9月完成外部审核及不符合项整改,诺亚正行基金销售有限公司-科技中心顺利通过国际知名认证机构DNV的ISO 27001和ISO 29151标准认证并获得证书。认证机构每年都会对我司信息安全管理体系的符合性进行审核。
诺亚以通过ISO 27001和ISO 29151认证为目标,向客户、竞争对手、供应商、员工和投资方展示对信息安全的重视。未来我们将定期监督审核,确保组织的信息系统不断地被监督和改善,使客户及利益相关方感受到组织对信息安全的承诺。
诺亚通过四个阶段(分析、实现、运行及验证),对公司存在的风险进行识别与评估,制定了相应的风险处置计划,完成了公司信息安全管理体系制度和流程建设。 已于2020年9月完成外部审核及不符合项整改,诺亚正行基金销售有限公司-科技中心顺利通过国际知名认证机构DNV的ISO 27001和ISO 29151标准认证并获得证书。认证机构每年都会对我司信息安全管理体系的符合性进行审核。
诺亚以通过ISO 27001和ISO 29151认证为目标,向客户、竞争对手、供应商、员工和投资方展示对信息安全的重视。未来我们将定期监督审核,确保组织的信息系统不断地被监督和改善,使客户及利益相关方感受到组织对信息安全的承诺。
网络安全等级保护项目
为了满足《中华人民共和国网络安全法》和银保监会《保险中介机构信息化工作监管办法》 等国家法律法规的要求,提升诺亚网络安全和数据安全管控力度。2020 年诺亚邀请外部专业测评机构,对诺亚荣耀保险经纪系统、诺亚正行官网和私募基金核心交易等系统,开展一系列咨询与测评工作。
其中,荣耀保险经纪系统和私募基金核心交易系统顺利通过等保三级测评,正行官网通过等保二级测评,达到良好水平。
其中,荣耀保险经纪系统和私募基金核心交易系统顺利通过等保三级测评,正行官网通过等保二级测评,达到良好水平。
保护客户隐私数据
诺亚员工对客户隐私数据的访问,必须遵循最小授权与必要知悉原则,日常运营中如需提取或向外部监管机构披露客户隐私数据,必须提交并获得申请人主管、数据所有者和诺亚信息安全部门的批准。
● 员工入职前须签署保密协议,于就职期间,持续接受培训,严格禁止泄露诺亚客户信息;外部顾问、技术支持人员等非诺亚人员在工作前均必须签署保密协议,不得接触诺亚客户隐私信息。
● 诺亚信息安全部门,每年会对客户隐私数据的保护情况进行专项检查,发现违反安全规定的行为按照公司管理规定进行处罚;涉及违法行为将移交司法部门处理。
诺亚设有信息安全事件举报电话、邮件、微信号,对于内外部反馈的可能涉及泄露的事件,会立案展开调查,如果属于因诺亚自身原因导致的客户隐私泄露,会进行问题整改并追究相关人员责任,2021年,诺亚未发生客户信息泄露事件。
● 员工入职前须签署保密协议,于就职期间,持续接受培训,严格禁止泄露诺亚客户信息;外部顾问、技术支持人员等非诺亚人员在工作前均必须签署保密协议,不得接触诺亚客户隐私信息。
● 诺亚信息安全部门,每年会对客户隐私数据的保护情况进行专项检查,发现违反安全规定的行为按照公司管理规定进行处罚;涉及违法行为将移交司法部门处理。
诺亚设有信息安全事件举报电话、邮件、微信号,对于内外部反馈的可能涉及泄露的事件,会立案展开调查,如果属于因诺亚自身原因导致的客户隐私泄露,会进行问题整改并追究相关人员责任,2021年,诺亚未发生客户信息泄露事件。
诺亚信息安全防护机制
面向
防护机制
内部
1、数据加密存储:通过自行研发的密钥管理系统,对客户的敏感信息(手机、证件号码、银行卡号等)进行加密存储,确保客户敏感信息的安全。
2、数据传输监控:全员安装数据防泄露软件,针对客户敏感信息进行监控,任何对外发送、拷贝客户敏感信息的行为都会触发报警,确认后按信息安全违规进行惩处。
3、数据提取管控:所有因为业务需要和监管要求等需要从系统中提取客户数据的行为,都须经过信息安全部门的审批并由信息安全团队实施,确保数据提取受控
2、数据传输监控:全员安装数据防泄露软件,针对客户敏感信息进行监控,任何对外发送、拷贝客户敏感信息的行为都会触发报警,确认后按信息安全违规进行惩处。
3、数据提取管控:所有因为业务需要和监管要求等需要从系统中提取客户数据的行为,都须经过信息安全部门的审批并由信息安全团队实施,确保数据提取受控
外部
1、部署主要网络安全防护设备,包括防火墙、入侵检测、安全审计系统等,能够有效地抵御外部的网络攻击和渗透。
2、所有终端上安装知名厂商的杀毒软件,每天进行终端自动扫描、杀毒。 确保所有终端设备的安全。 定期实施系统安全性测试,邀请外部专业安全厂商实施安全测试和评估,发现漏洞及时修补,确保系统安全性。
3、完善供应商信息安全管理机制:制定实施《诺亚外包及供应商人员信息安全管理实施细则》,所有外包供应商合作之前签署专项保密协议和信息安全须知,办公电脑接入诺亚网络前需安装安全软件,补充了IT软硬件采购合同需包含的信息安全条款。
2、所有终端上安装知名厂商的杀毒软件,每天进行终端自动扫描、杀毒。 确保所有终端设备的安全。 定期实施系统安全性测试,邀请外部专业安全厂商实施安全测试和评估,发现漏洞及时修补,确保系统安全性。
3、完善供应商信息安全管理机制:制定实施《诺亚外包及供应商人员信息安全管理实施细则》,所有外包供应商合作之前签署专项保密协议和信息安全须知,办公电脑接入诺亚网络前需安装安全软件,补充了IT软硬件采购合同需包含的信息安全条款。
信息安全稽核情况说明:
1、每季度进行信息系统安全检查,含域账号、系统管理员账号、外包管理、弱口令、主机漏洞扫描情况、安全设备配置检查。
2、每年度进行全集团范围(含集团和各子公司)信息安全底线检查,包括访问控制管理、敏感数据管理、变更管理、应用系统安全评估和测试、防病毒、网络管理、备份与恢复性测试、安全基线检查等内容。
3、2021年制定了《诺亚公有云信息安全管理要求》,并在年度检查中新增了云安全专项审计,帮助公司识别管理新技术面临的安全风险。
4、对于季度和年度信息安全稽核中发现的问题项,会以邮件方式向各问题责任单位/部门发送整改通知,要求明确整改时间计划,信息安全部门会持续跟踪支持该问题关闭
2、每年度进行全集团范围(含集团和各子公司)信息安全底线检查,包括访问控制管理、敏感数据管理、变更管理、应用系统安全评估和测试、防病毒、网络管理、备份与恢复性测试、安全基线检查等内容。
3、2021年制定了《诺亚公有云信息安全管理要求》,并在年度检查中新增了云安全专项审计,帮助公司识别管理新技术面临的安全风险。
4、对于季度和年度信息安全稽核中发现的问题项,会以邮件方式向各问题责任单位/部门发送整改通知,要求明确整改时间计划,信息安全部门会持续跟踪支持该问题关闭
信息安全培训与查核
信息安全周,是诺亚全体员工全体必须接受的信息安全意识培训,除了信息安全宣传外,还会进行一系列的信息安全活动,强化所有员工的安全意识。 2021年信息安全周,针对诺亚全体员工推动了多项信息安全意识宣传教育活动,包括全员信息安全意识线上必修课程、全员钓鱼邮件测试、线下安全威胁体验活动、安全展板和每日安全短视频、职场信息安全检查。 共500多名员工参与本次信息安全周线上活动,职场安全检查问题相比2020年减少70%,员工信息安全意识进一步得到提升。
诺亚信息安全培训项目:
1、全员信息安全意识线上必修课程
2、全员钓鱼邮件测试
3、线下安全威胁体验活动
4、安全展板和每日安全短视频
5、职场信息安全检查
诺亚信息安全培训项目:
1、全员信息安全意识线上必修课程
2、全员钓鱼邮件测试
3、线下安全威胁体验活动
4、安全展板和每日安全短视频
5、职场信息安全检查
诺亚信息安全意识培训
类别
项目
成果
信息安全周
信息安全意识宣传教育活动,包括:
• 网络安全意识教育线上课程
• 员工信息安全行为认同度调查
• 微信小游戏
• 全员钓鱼邮件测试和职场安全检查
• 网络安全意识教育线上课程
• 员工信息安全行为认同度调查
• 微信小游戏
• 全员钓鱼邮件测试和职场安全检查
• 500多名员工参与
• 钓鱼邮件测试中招人数较去年减少4%
• 职场安全检查问题较去年减少40%
• 总培训时数620小时
• 钓鱼邮件测试中招人数较去年减少4%
• 职场安全检查问题较去年减少40%
• 总培训时数620小时
定向安全意识培训
针对涉及客户信息处理之员工,开展定向安全培训及技术培训,包括:
• 安全需求规范
• 应用安全开发标准
• 安全漏洞管理规范
• 移动应用开发培训
• 提升IT人员的安全技术能力
• 安全需求规范
• 应用安全开发标准
• 安全漏洞管理规范
• 移动应用开发培训
• 提升IT人员的安全技术能力
• 6场定向安全培训
• 4场技术培训
• 参与总人数341人
• 总培训时数523小时
• 4场技术培训
• 参与总人数341人
• 总培训时数523小时
线上安全意识必修课
完成线上诺亚大学安全意识培训课程的学习
• 共有741名员工
• 总培训时数849小时
日常安全意识培训
• 通过企业微信、全员邮件、微信公众号向员工推送安全资讯
• 办公电脑设置了职场办公安全意识屏保,网络安全周期间采用“诺亚信息安全”微信视频号推送国家网络安全周宣传视频
• 办公电脑设置了职场办公安全意识屏保,网络安全周期间采用“诺亚信息安全”微信视频号推送国家网络安全周宣传视频
• 全员推送29期安全资讯
• 点击量达5.9万人次
信息安全员组织建设
• 建立科技团队信息安全员机制
• 每月由信息安全部开展安全员培训,安全员再给本部门员工进行内训
• 安全员负责向信息安全部反馈安全风险事件和安全工作的建议
• 全体科技员工签署信息安全违规红线清单,使得安全意识深入一线员工
• 每年评选优秀信息安全员和信息安全团队
• 全员信息安全意识线上必修课程
• 全员钓鱼邮件测试
• 线下安全威胁体验活动
• 安全展板和每日安全短视频
• 职场信息安全检查
• 每月由信息安全部开展安全员培训,安全员再给本部门员工进行内训
• 安全员负责向信息安全部反馈安全风险事件和安全工作的建议
• 全体科技员工签署信息安全违规红线清单,使得安全意识深入一线员工
• 每年评选优秀信息安全员和信息安全团队
• 全员信息安全意识线上必修课程
• 全员钓鱼邮件测试
• 线下安全威胁体验活动
• 安全展板和每日安全短视频
• 职场信息安全检查
• 10场安全员培训
• 31名科技信息安全员
• 178次科技团队内部安全培训
• 总培训时数100小时
• 4项线下安全威胁体验活动
• 职场安全检查问题较去年减少70%
• 总培训时数210小时
• 31名科技信息安全员
• 178次科技团队内部安全培训
• 总培训时数100小时
• 4项线下安全威胁体验活动
• 职场安全检查问题较去年减少70%
• 总培训时数210小时
客户敏感信息保护
为防止敏感客户信息外泄,诺亚订有《敏感信息管理规范》,对于客户敏感信息进行了定义,配合一系列的管制举措,有效降低客户信息外泄的风险。
2021年,诺亚实施了办公电脑和公司网络禁用个人微信和QQ的策略,有效降低了员工通过个人即时通讯工具传输公司敏感信息的泄露风险。另为满足销售过程合规留痕的要求,诺亚部署了企微会话存档系统,对公司全员开通企微会话存档,确保所有在企微中与客户的所有对话记录进行本地存储。
系统中并设置敏感词,要求销售人员统一使用企微与客户联系,不得在销售过程中主动索要客户联系方式,或在销售过程中给客户承诺收益,如有触发敏感词,将有自动消息告警发给安全审计岗与合规岗人员进行违规事件处理。
我们陆续关闭互联网访问通道,缩小公司系统互联网攻击面及风险敞口;继续实施移动APP安全加固项目,公司面向客户的 APP可通过安全加固平台完成代码加密,提升APP应用及数据安全。
此外,诺亚每年也开展各项应急预案演练,2021年应对系统上云的场景,开展了公私募交易系统、Inoah系统的灾备演练,确保公私募交易系统和Inoah系统高可用架构有效且具备灾难恢复的能力, 满足业务连续性的要求。
2021年,诺亚实施了办公电脑和公司网络禁用个人微信和QQ的策略,有效降低了员工通过个人即时通讯工具传输公司敏感信息的泄露风险。另为满足销售过程合规留痕的要求,诺亚部署了企微会话存档系统,对公司全员开通企微会话存档,确保所有在企微中与客户的所有对话记录进行本地存储。
系统中并设置敏感词,要求销售人员统一使用企微与客户联系,不得在销售过程中主动索要客户联系方式,或在销售过程中给客户承诺收益,如有触发敏感词,将有自动消息告警发给安全审计岗与合规岗人员进行违规事件处理。
我们陆续关闭互联网访问通道,缩小公司系统互联网攻击面及风险敞口;继续实施移动APP安全加固项目,公司面向客户的 APP可通过安全加固平台完成代码加密,提升APP应用及数据安全。
此外,诺亚每年也开展各项应急预案演练,2021年应对系统上云的场景,开展了公私募交易系统、Inoah系统的灾备演练,确保公私募交易系统和Inoah系统高可用架构有效且具备灾难恢复的能力, 满足业务连续性的要求。
针对数据泄漏事件之紧急应变计划
诺亚于2021年制定了《诺亚客户信息泄露突发事件应急预案》,如发现公司客户信息泄露事件,由信息安全部统一组织开展预警响应工作,启动应急预案,判定该事件安全级别并通知协调相关业务协作单位进行处理,保存证据。
对于特别重大的客户信息泄露事件,符合监管报告条件的,由集团信息安全部和合规部门分别向事发地网安部门和其他监管机构书面发送事件总结报告。
对于特别重大的客户信息泄露事件,符合监管报告条件的,由集团信息安全部和合规部门分别向事发地网安部门和其他监管机构书面发送事件总结报告。
网络安全红蓝对抗演练
红蓝演练(Attack and Defense Drill,ADD)是一种完全仿真的攻防实战对抗。 针对集团国内外所有外部业务,通过模拟十几种网络攻击场景,检验公司在信息安全管理、技术防控、安全应急等阶段的工作成果。 凭借实战演练,提升了企业技术人员的安全意识,锻炼了安全部门的攻防技能,揭示信息系统的潜在风险,进而促进信息安全治理工作的完善和提升。
2021年,诺亚聘请外部专业安全服务机构,对集团实施了为期1个月的红蓝对抗项目,期间由诺亚信息安全部和各科技运维团队组成的防守方(蓝队) 成功监测到来自中国境内、外超过10处攻击节点,其中涉及国内运营商、公有云、欧美、东南亚等地。 在攻防过程中,诺亚的防护机制成功拦截了所有技术层面的外部攻击。 同时在业务流程的风险评估中有效识别出信息系统中存在的安全隐患,在演练后完成了所有风险项的整治工作。 通过本次实战,安全团队可以更清晰了解自身的不足,为安全治理在技术方面的演进和探索指明方向。
2021年,诺亚聘请外部专业安全服务机构,对集团实施了为期1个月的红蓝对抗项目,期间由诺亚信息安全部和各科技运维团队组成的防守方(蓝队) 成功监测到来自中国境内、外超过10处攻击节点,其中涉及国内运营商、公有云、欧美、东南亚等地。 在攻防过程中,诺亚的防护机制成功拦截了所有技术层面的外部攻击。 同时在业务流程的风险评估中有效识别出信息系统中存在的安全隐患,在演练后完成了所有风险项的整治工作。 通过本次实战,安全团队可以更清晰了解自身的不足,为安全治理在技术方面的演进和探索指明方向。
金融服务业,对于信息系统的稳定性、数据安全性有严格的标准要求,诺亚为了保证客户数据的隐私性与安全性,建置专业信息安全团队,并发布《诺亚数据安全管理办法》《诺亚信息安全方针与政策》、《诺亚信息安全违规行为处罚管理办法》、《诺亚敏感信息管理规范》、《隐私政策》等政策与管理文件,明确规定运营过程中有关信息安全,及收集客户隐私信息(如联系方式、证件号码等)的使用范围,以及获取、传递、存档、销毁该信息的管理流程,确保营运业务的信息安全。
信息系统中涉及信息安全相关处理的内容,所有的软件设计和开发,均参照《诺亚应用系统安全开发标准》,针对身份认证及访问控制、会话及内容管理、数据加密及屏蔽、防网络钓鱼、安全审计以及代码质量管控等,进行多层级的安全性设计。
信息系统中涉及信息安全相关处理的内容,所有的软件设计和开发,均参照《诺亚应用系统安全开发标准》,针对身份认证及访问控制、会话及内容管理、数据加密及屏蔽、防网络钓鱼、安全审计以及代码质量管控等,进行多层级的安全性设计。
Attestation Report of the Independent Registered Public Accounting Firm Opinion on Internal Control over Financial Reporting
We have audited the internal control over financial reporting of Noah Holdings Limited and its subsidiaries and consolidated variable interest entity (the “Group”) as of December 31,2018,based on criteria established in
塞班司法案Sarbanes-Oxley Act审计诺亚控股相关信息请参阅公司年报中的定期披露
《诺亚信息安全方针与政策》
《诺亚正行隐私政策》
《微诺亚隐私政策》
诺亚取得 ISO 27001 & 29151 认证项目
为更好保护内部和客户信息安全,诺亚于2018年启动在2020年并取得了ISO 27001信息安全管理体系、及ISO 29151个人身份信息保护实践指南认证,
更好的保证企业在信息安全领域的可靠性,降低企业泄密风险,更好地保存核心数据,使诺亚客户和内部数据保护措施能够更加系统和全面,及明确隐私保护策略、增强隐私保护控制措施。
诺亚通过四个阶段(分析、实现、运行及验证),对公司存在的风险进行识别与评估,制定了相应的风险处置计划,完成了公司信息安全管理体系制度和流程建设。 已于2020年9月完成外部审核及不符合项整改,诺亚正行基金销售有限公司-科技中心顺利通过国际知名认证机构DNV的ISO 27001和ISO 29151标准认证并获得证书。认证机构每年都会对我司信息安全管理体系的符合性进行审核。
诺亚以通过ISO 27001和ISO 29151认证为目标,向客户、竞争对手、供应商、员工和投资方展示对信息安全的重视。未来我们将定期监督审核,确保组织的信息系统不断地被监督和改善,使客户及利益相关方感受到组织对信息安全的承诺。
诺亚通过四个阶段(分析、实现、运行及验证),对公司存在的风险进行识别与评估,制定了相应的风险处置计划,完成了公司信息安全管理体系制度和流程建设。 已于2020年9月完成外部审核及不符合项整改,诺亚正行基金销售有限公司-科技中心顺利通过国际知名认证机构DNV的ISO 27001和ISO 29151标准认证并获得证书。认证机构每年都会对我司信息安全管理体系的符合性进行审核。
诺亚以通过ISO 27001和ISO 29151认证为目标,向客户、竞争对手、供应商、员工和投资方展示对信息安全的重视。未来我们将定期监督审核,确保组织的信息系统不断地被监督和改善,使客户及利益相关方感受到组织对信息安全的承诺。
我们以通过ISO 27001和ISO29151认证为目标,向客户、竞争对手、供应商、员工和投资方展示对信息安全的重视。诺亚定期的监督审核将确保组织的信息系统不断地被监督和改善,并以此作为增强信息安全性的依据,信任信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。
诺亚信息安全防护机制
信息安全培训与查核
信息安全周,是诺亚全体员工全体必须接受的信息安全意识培训,除了信息安全宣传外,还会进行一系列的信息安全活动,强化所有员工的安全意识。 2021年信息安全周,针对诺亚全体员工推动了多项信息安全意识宣传教育活动,包括全员信息安全意识线上必修课程、全员钓鱼邮件测试、线下安全威胁体验活动、安全展板和每日安全短视频、职场信息安全检查。 共500多名员工参与本次信息安全周线上活动,职场安全检查问题相比2020年减少70%,员工信息安全意识进一步得到提升。
诺亚信息安全培训项目:
1、全员信息安全意识线上必修课程
2、全员钓鱼邮件测试
3、线下安全威胁体验活动
4、安全展板和每日安全短视频
5、职场信息安全检查
诺亚信息安全培训项目:
1、全员信息安全意识线上必修课程
2、全员钓鱼邮件测试
3、线下安全威胁体验活动
4、安全展板和每日安全短视频
5、职场信息安全检查
信息安全稽核情况说明:
1)每季度进行信息系统安全检查,含域账号、系统管理员账号、外包管理、弱口令、主机漏洞扫描情况、安全设备配置检查。
2)每年度进行全集团范围(含集团和各子公司)信息安全底线检查,包括访问控制管理、敏感数据管理、变更管理、应用系统安全评估和测试、防病毒、网络管理、备份与恢复性测试等内容。
对于季度和年度信息安全稽核中发现的问题项,会以邮件方式向各问题责任单位/部门发送整改通知,要求明确整改时间计划,业务安全中心会持续跟踪支持该问题关闭。
1)每季度进行信息系统安全检查,含域账号、系统管理员账号、外包管理、弱口令、主机漏洞扫描情况、安全设备配置检查。
2)每年度进行全集团范围(含集团和各子公司)信息安全底线检查,包括访问控制管理、敏感数据管理、变更管理、应用系统安全评估和测试、防病毒、网络管理、备份与恢复性测试等内容。
对于季度和年度信息安全稽核中发现的问题项,会以邮件方式向各问题责任单位/部门发送整改通知,要求明确整改时间计划,业务安全中心会持续跟踪支持该问题关闭。