金融服务业,对于信息系统的稳定性、数据安全性有严格的标准要求,诺亚为了保证客户数据的隐私性与安全性,建置专业信息安全团队,并发布《诺亚数据安全管理办法》《诺亚信息安全方针与政策》、《诺亚信息安全违规行为处罚管理办法》、《诺亚敏感信息管理规范》、《隐私政策》等政策与管理文件,明确规定运营过程中有关信息安全,及收集客户隐私信息(如联系方式、证件号码等)的使用范围,以及获取、传递、存档、销毁该信息的管理流程,确保营运业务的信息安全。
信息系统中涉及信息安全相关处理的内容,所有的软件设计和开发,均参照《诺亚应用系统安全开发标准》,针对身份认证及访问控制、会话及内容管理、数据加密及屏蔽、防网络钓鱼、安全审计以及代码质量管控等,进行多层级的安全性设计。
Attestation Report of the Independent Registered Public Accounting Firm
Opinion on Internal Control over Financial Reporting
We have audited the internal control over financial reporting of Noah Holdings Limited and its subsidiaries and consolidated variable interest entity (the “Group”) as of December 31,2018,based on criteria established in internal Control—Integrated Framework(2013) issued by the Committee of Sponsoring Organizations of the Treadway Commission(COSO).In our opinion,the Group maintained,in all material respects,effective internal control over financial reporting as of December 31,2018,based on criteria established in Internal Control—Integrated Framework (2013) issued by COSO.
塞班司法案Sarbanes-Oxley Act审计诺亚控股相关信息请参阅公司年报中的定期披露

为保证客户数据的隐私性与安全性,诺亚建构了专业的信息安全团队,导入并取得ISO 27001及ISO 29151认证,针对客户隐私信息进行严密控管,确保客户数据的安全,以满足国家《网络安全法》等法律法规对个人信息的保护要求。
2020年,根据国家隐私保护的相关法律法规要求,诺亚已完成隐私保护专项自查工作,对4款面向客户的APP(微笑基金、微诺亚、iNoah、领航鲸)和荣耀保险公众号、以诺教育小程序设置了隐私政策并完成了版本更新。
类别
政策/机制
说明
政策
《诺亚信息安全方针与政策》《隐私政策》
规范运营过程中收集客户隐私信息(如联系方式、证件号码等)的使用范围
办法
《诺亚数据安全管理办法》
规范获取、传递、存档、销毁该信息的管理流程
管理系统
ISO 27001信息安全管理体系
ISO 29151个人身份信息保护实践指南
取得ISO 27001认证,保证诺亚在信息安全领域的可靠性,降低泄密风险 取得ISO 29151认证,明确诺亚隐私保护策略、增强隐私保护控制措施
管理机制
使用客户隐私信息的在线业务场景
部署Web应用防火墙、网络防火墙、主机入侵检测等多个安全防护系统
采取客户信息加密传输机制,对网络攻击行为持续监控并实时预警
由集团安全运维团队集中快速处理网络安全风险
《诺亚信息安全方针与政策》
《诺亚正行隐私政策》
诺亚取得 ISO 27001 & 29151 认证项目
为更好保护内部和客户信息安全,诺亚于2018年启动在2020年并取得了ISO 27001信息安全管理体系、及ISO 29151个人身份信息保护实践指南认证, 更好的保证企业在信息安全领域的可靠性,降低企业泄密风险,更好地保存核心数据,使诺亚客户和内部数据保护措施能够更加系统和全面,及明确隐私保护策略、增强隐私保护控制措施。
诺亚通过四个阶段(分析、实现、运行及验证),对公司存在的风险进行识别与评估,制定了相应的风险处置计划,完成了公司信息安全管理体系制度和流程建设。 已于2020年9月完成外部审核及不符合项整改,诺亚正行基金销售有限公司-科技中心顺利通过国际知名认证机构DNV的ISO 27001和ISO 29151标准认证并获得证书。认证机构每年都会对我司信息安全管理体系的符合性进行审核。
诺亚以通过ISO 27001和ISO 29151认证为目标,向客户、竞争对手、供应商、员工和投资方展示对信息安全的重视。未来我们将定期监督审核,确保组织的信息系统不断地被监督和改善,使客户及利益相关方感受到组织对信息安全的承诺。
网络安全等级保护项目
为了满足《中华人民共和国网络安全法》和银保监会《保险中介机构信息化工作监管办法》 等国家法律法规的要求,同时提升公司网络安全和数据安全管控力度,2020年诺亚邀请外部专业测评机构对我司荣耀保险经纪系统、诺亚正行官网和私募基金核心交易系统开展等保咨询与测评工作。其中荣耀保险经纪系统和私募基金核心交易系统顺利通过等保三级测评,正行官网通过等保二级测评,达到良好水平。此外将在2021年初发布公司网络安全等级保护定级规范、技术检查规范、技术实施规范,使我司所有信息系统参照国家等级保护标准进行系统定级并强化安全防护措施。
保护客户隐私数据
诺亚员工对客户隐私数据的访问,必须遵循最小授权与必要知悉原则,日常运营中如需提取或向外部监管机构披露客户隐私数据,必须提交并获得申请人主管、数据所有者和诺亚信息安全部门的批准。
诺亚信息安全部门,每年会对客户隐私数据的保护情况进行专项检查,发现违反安全规定的行为按照公司管理规定进行处罚;涉及违法行为将移交司法部门处理。
诺亚设有信息安全事件举报电话、邮件、微信号,对于内外部反馈的可能涉及泄露的事件,会立案展开调查,如果属于因诺亚自身原因导致的客户隐私泄露,会进行问题整改并追究相关人员责任,2020年未发生客户信息泄露事件。
员工入职前须签署保密协议,于就职期间,持续接受培训,严格禁止泄露诺亚客户信息;外部顾问、技术支持人员等非诺亚人员在工作前均必须签署保密协议,不得接触诺亚客户隐私信息。
诺亚信息安全防护机制
面向
防护机制
内部
1)数据加密存储。诺亚通过自行研发的密钥管理系统,对客户的敏感信息(手机、证件号码、银行卡号等)进行加密存储,确保客户敏感信息的安全。
2)数据传输监控。同时全员还安装了数据防泄露软件,针对客户敏感信息进行监控,任何对外发送、拷贝客户敏感信息的行为都会触发报警,确认后按信息安全违规进行惩处。
3)数据提取管控。所有因为业务需要和监管要求等需要从系统中提取客户数据的行为,都须经过信息安全部门的审批并由信息安全团队实施,确保数据提取受控。
外部
1)部署主要网络安全防护设备,包括防火墙、入侵检测、安全审计系统等,能够有效地抵御外部的网络攻击和渗透。
2)所有终端上安装知名厂商的杀毒软件,每天进行终端自动扫描、杀毒。确保所有终端设备的安全。
定期实施系统安全性测试,邀请外部专业安全厂商实施安全测试和评估,发现漏洞及时修补,确保系统安全性。

信息安全稽核情况说明:
1. 每季度进行信息系统安全检查,含域账号、系统管理员账号、外包管理、弱口令、主机漏洞扫描情况、安全设备配置检查。
2. 每年度进行全集团范围(含集团和各子公司)信息安全底线检查,包括访问控制管理、敏感数据管理、变更管理、应用系统安全评估和测试、防病毒、网络管理、备份与恢复性测试、安全基线检查等内容。
对于季度和年度信息安全稽核中发现的问题项,会以邮件方式向各问题责任单位/部门发送整改通知,要求明确整改时间计划,业务安全中心会持续跟踪支持该问题关闭。
信息安全培训与查核
信息安全周,是诺亚全体员工全体必须接受的信息安全意识培训,除了信息安全宣传外,还会进行一系列的信息安全活动,强化所有员工的安全意识。 2020年信息安全周,针对诺亚全体员工推动了多项信息安全意识宣传教育活动,包括网络安全意识教育线上课程、员工信息安全行为认同度调查微信小游戏、全员钓鱼邮件测试和全面的职场安全检查。 共500多名员工参与本次信息安全周线上活动,钓鱼邮件测试中招人数相比上次减少4%,职场安全检查问题相比2019年减少40%,员工信息安全意识进一步得到提升。
诺亚信息安全培训项目:
(1).安全意识有奖问答:员工对钓鱼邮件的防范意识
(2).钓鱼邮件测试:员工对钓鱼邮件的防范意识
(3).职场安全检查:员工物理环境安全意识和日常安全习惯
四类别安全意识教育培训活动
类别
项目
成果
信息安全周
信息安全意识宣传教育活动,包括:
• 网络安全意识教育线上课程
• 员工信息安全行为认同度调查
• 微信小游戏
• 全员钓鱼邮件测试和职场安全检查
• 500多名员工参与
• 钓鱼邮件测试中招人数较去年减少4%
• 职场安全检查问题较去年减少40%
• 总培训时数620小时
定向安全意识培训
针对涉及客户信息处理之员工,开展定向安全培训及技术培训,包括:
• 安全需求规范
• 应用安全开发标准
• 安全漏洞管理规范
• 移动应用开发培训
• 提升IT人员的安全技术能力
• 6场定向安全培训
• 4场技术培训
• 参与总人数341人
• 总培训时数523小时
线上安全意识必修课
完成线上诺亚大学安全意识培训课程的学习
• 共有741名员工 • 总培训时数849小时
日常安全意识培训
• 通过企业微信、全员邮件、微信公众号向员工推送安全资讯
• 办公电脑设置了职场办公安全意识屏保,网络安全周期间采用“诺亚信息安全”微信视频号推送国家网络安全周宣传视频
• 全员推送29期安全资讯 • 点击量达5.9万人次
客户敏感信息保护
《诺亚敏感信息管理规范》对于客户敏感信息进行了定义,敏感信息在数据库保存时必须通过诺亚密钥管理系统进行加密存储。系统前端页面显示时,客户敏感信息须进行相应的遮蔽。后台运维访问客户数据全部通过虚拟桌面和堡垒机,通过权限控制,避免了管理员利用职权下载和外发客户数据。所有客户真实数据不允许放在测试环境中使用,测试环境全部使用自制数据或脱敏数据。
为防止敏感客户信息外泄,已实施对全集团办公终端的USB口封闭,员工无法通过U盘等移动介质拷出,降低客户信息外泄的风险。同时,部署在员工办公终端上的数据防泄露软件DLP也会实时监控员工的操作行为,一旦发生邮件外发、网络上传及分享涉及客户敏感信息的文件时,系统会自动报警,由业务安全中心专人进行调查和处理。
2020年,为支持歌斐玛撒直销铁三角展业模式,满足销售过程合规留痕的要求,诺亚业务安全中心部署了歌斐玛撒企微会话存档系统,对歌斐玛撒所有销售代表和运营代表在企微中与客户的所有对话记录进行本地存储。并设置了敏感词,要求歌斐玛撒销售代表和运营代表统一使用企微与客户联系,不得在销售过程中主动索要客户联系方式或在销售过程中给客户承诺收益,如有触发敏感词将有自动消息告警发给安全审计岗与合规岗人员进行违规事件处理。
此外,2020年业务安全中心开展了网络安全准入项目,要求终端完成加域身份认证以及安装安全软件后方可访问公司办公网络,提升了公司网络安全水平;实施移动APP安全加固项目,公司面向客户的APP可通过安全加固平台完成代码加密,提升APP应用及数据安全。
针对数据泄漏事件之紧急应变计划
诺亚于2020年更新《诺亚网络安全事件应急预案》,如发现公司绝密和机密信息泄露事件,由业务安全中心统一组织开展预警响应工作,启动应急预案,判定该事件安全级别并通知协调相关业务协作单位进行处理,保存证据。
对于高危以上的数据泄露事件,除及时向集团管理层和监察合规部门报告外,如事件情节构成违法犯罪,则通知本市公安局公共信息网络安全监察部门立案侦查。
网络安全红蓝对抗演练
红蓝对抗(Attack and Defense Drill,ADD)针对重要核心业务,模拟多种网络攻防场景,使人员了解网络攻击过程与实际防护,培养和提升企业安全人员的安全意识,提高安全技能和防护水平,揭示信息系统的漏洞,促进信息安全管理制度完善,提升企业的信息安全。
诺亚2020年请外部专业安全机构实施了为期1个月的网络安全红蓝对抗演练,期间由诺亚业务安全中心和各科技运维团队组成的防守方(蓝队)成功定位了红队在上海、美国、香港、日本共6处攻击节点。
在攻防期间,诺亚现有的防护措施成功抑制了所有技术层面的外部攻击。同时在业务流程的风险评估中有效识别了自身信息系统中存在的安全漏洞,并在演练后对所有问题完成了整改和复测。另外,通过与外部红队的攻防对抗,也进一步提升了信息安全团队的攻防技术能力和水平。
金融服务业,对于信息系统的稳定性、数据安全性有严格的标准要求,诺亚为了保证客户数据的隐私性与安全性,建置专业信息安全团队,并发布《诺亚数据安全管理办法》《诺亚信息安全方针与政策》、《诺亚信息安全违规行为处罚管理办法》、《诺亚敏感信息管理规范》、《隐私政策》等政策与管理文件,明确规定运营过程中有关信息安全,及收集客户隐私信息(如联系方式、证件号码等)的使用范围,以及获取、传递、存档、销毁该信息的管理流程,确保营运业务的信息安全。
信息系统中涉及信息安全相关处理的内容,所有的软件设计和开发,均参照《诺亚应用系统安全开发标准》,针对身份认证及访问控制、会话及内容管理、数据加密及屏蔽、防网络钓鱼、安全审计以及代码质量管控等,进行多层级的安全性设计。
Attestation Report of the Independent Registered Public Accounting Firm Opinion on Internal Control over Financial Reporting
We have audited the internal control over financial reporting of Noah Holdings Limited and its subsidiaries and consolidated variable interest entity (the “Group”) as of December 31,2018,based on criteria established in
塞班司法案Sarbanes-Oxley Act审计诺亚控股相关信息请参阅公司年报中的定期披露
《诺亚信息安全方针与政策》
诺亚取得 ISO 27001 & 29151 认证项目
为更好保护内部和客户信息安全,诺亚于2018年启动在2020年并取得了ISO 27001信息安全管理体系、及ISO 29151个人身份信息保护实践指南认证, 更好的保证企业在信息安全领域的可靠性,降低企业泄密风险,更好地保存核心数据,使诺亚客户和内部数据保护措施能够更加系统和全面,及明确隐私保护策略、增强隐私保护控制措施。
诺亚通过四个阶段(分析、实现、运行及验证),对公司存在的风险进行识别与评估,制定了相应的风险处置计划,完成了公司信息安全管理体系制度和流程建设。 已于2020年9月完成外部审核及不符合项整改,诺亚正行基金销售有限公司-科技中心顺利通过国际知名认证机构DNV的ISO 27001和ISO 29151标准认证并获得证书。认证机构每年都会对我司信息安全管理体系的符合性进行审核。
诺亚以通过ISO 27001和ISO 29151认证为目标,向客户、竞争对手、供应商、员工和投资方展示对信息安全的重视。未来我们将定期监督审核,确保组织的信息系统不断地被监督和改善,使客户及利益相关方感受到组织对信息安全的承诺。
我们以通过ISO 27001和ISO29151认证为目标,向客户、竞争对手、供应商、员工和投资方展示对信息安全的重视。诺亚定期的监督审核将确保组织的信息系统不断地被监督和改善,并以此作为增强信息安全性的依据,信任信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。
诺亚信息安全防护机制
信息安全培训与查核
信息安全周,是诺亚全体员工全体必须接受的信息安全意识培训,除了信息安全宣传外,还会进行一系列的信息安全活动,强化所有员工的安全意识。 2020年信息安全周,针对诺亚全体员工推动了多项信息安全意识宣传教育活动,包括网络安全意识教育线上课程、员工信息安全行为认同度调查微信小游戏、全员钓鱼邮件测试和全面的职场安全检查。 共500多名员工参与本次信息安全周线上活动,钓鱼邮件测试中招人数相比上次减少4%,职场安全检查问题相比2019年减少40%,员工信息安全意识进一步得到提升。
诺亚信息安全培训项目:
(1).安全意识有奖问答:员工对钓鱼邮件的防范意识
(2).钓鱼邮件测试:员工对钓鱼邮件的防范意识
(3).职场安全检查:员工物理环境安全意识和日常安全习惯
信息安全稽核情况说明:
1)每季度进行信息系统安全检查,含域账号、系统管理员账号、外包管理、弱口令、主机漏洞扫描情况、安全设备配置检查。
2)每年度进行全集团范围(含集团和各子公司)信息安全底线检查,包括访问控制管理、敏感数据管理、变更管理、应用系统安全评估和测试、防病毒、网络管理、备份与恢复性测试等内容。
对于季度和年度信息安全稽核中发现的问题项,会以邮件方式向各问题责任单位/部门发送整改通知,要求明确整改时间计划,业务安全中心会持续跟踪支持该问题关闭。