¿Cómo redactar un informe de propuesta sobre control de costos empresariales? ¿Cómo escribir la base y la importancia de la selección del tema y el estado actual de la investigación de la selección del tema?
En los últimos años, la industria farmacéutica de mi país ha intensificado sus esfuerzos de reforma, la circulación de medicamentos se ha liberalizado gradualmente, los medicamentos están sujetos a gestión clasificada y el mercado de circulación de medicamentos está abierto a la inversión extranjera. Estas reformas y cambios han tenido un enorme impacto en la industria farmacéutica, y el patrón de distribución farmacéutica también sufrirá cambios tremendos. Sin embargo, debido a la reforma relativamente atrasada del sistema de distribución farmacéutica de mi país, las operaciones de la cadena farmacéutica aún palidecen en comparación con otras industrias. Aunque el retraso en la reforma médica ha hecho que las operaciones de la cadena farmacéutica estén relativamente atrasadas, también ha traído enormes oportunidades para las operaciones de la cadena farmacéutica.
Como modelo de gestión avanzada, la operación de la cadena farmacéutica es esencialmente diferente del modelo tradicional de gestión integrada de compra y venta comercial de productos farmacéuticos: sus canales de compra y funciones de venta están separados, especialmente el modelo de distribución intensiva. medios importantes para generar economías de escala, reducir los costos unitarios de los productos y mejorar la competitividad corporativa. Este modelo de distribución centralizada romperá por completo el sistema mayorista de productos farmacéuticos de cuatro niveles del sistema de economía planificada original de mi país. Con la reforma del sistema médico y de salud de mi país, la profundización de la reforma del sistema de seguro médico de los empleados urbanos y el creciente llamado a una contabilidad y gestión separadas de los medicamentos, la industria minorista de productos farmacéuticos se ha convertido en un nuevo foco de inversión y foco social. .
2. Estado actual y problemas existentes de las operaciones de la cadena farmacéutica
Desde 1995 hasta ahora, las empresas de la cadena farmacéutica de mi país se han desarrollado rápidamente desde las primeras a más de 400, y el número El número de tiendas ha aumentado a Hay casi 7.800 empresas y la escala de las empresas también está en constante expansión. No hay duda de que las cadenas de farmacias, como poderosa herramienta para el ingreso de China a la OMC, se han convertido en una opción inevitable para las empresas de distribución farmacéutica. Según estadísticas de expertos relevantes, en los próximos 2 a 3 años, más del 70% de las farmacias se incluirán en la cadena de empresas farmacéuticas. Al mismo tiempo, las cadenas farmacéuticas se convertirán gradualmente en una forma especializada de operar varias marcas de uno o varios tipos de productos farmacéuticos en un proceso de ajuste continuo. Sin embargo, a pesar del rápido desarrollo de las operaciones de la cadena farmacéutica en mi país en los últimos años, factores como los cierres ciegos de la cadena, la protección local severa y la gestión interna irregular se están convirtiendo cada vez más en factores negativos que restringen el desarrollo saludable de las operaciones de la cadena farmacéutica. Los principales problemas se resumen a continuación:
1. Centrarse en la escala y la forma de la cadena, ignorar las cadenas internas y estandarizadas e ignorar la infraestructura de las operaciones de la cadena.
Éste es el mayor peligro oculto de las operaciones de la cadena farmacéutica. El alto margen de beneficio bruto del 20% al 30% en las ventas minoristas de medicamentos convierte a la industria minorista de medicamentos en un foco estratégico para los príncipes de la industria farmacéutica. Muchas empresas sólo se preocupan por la escala y la cantidad. La estandarización de las operaciones en cadena a menudo sólo se centra en la unificación de formas externas e ignora la construcción de bases internas. Muchos franquiciados a menudo no tienen la capacidad de atraer franquiciados, sino que consideran la franquicia como el único medio para expandir su escala. Al mismo tiempo, para fortalecer su fuerza, los franquiciados a menudo se centran en solicitar y hay una falta de revisión de las diversas condiciones de los franquiciados, lo que hace que los franquiciados sean una mezcla. Algunos operadores no calificados dañarán la imagen corporativa después de unirse e incluso comprarán productos de otros canales a precios bajos, lo que provocará que la supervisión de la calidad de los medicamentos se salga de control.
2. La división de derechos de propiedad y afiliaciones, así como el proteccionismo local, restringen el desarrollo interregional de las operaciones de la cadena farmacéutica.
La gestión multipartidaria y la división de intereses provocadas por el sistema de gestión y supervisión administrativa original de mi país han llevado a la fragmentación en el campo de la circulación farmacéutica y a un grave proteccionismo local, que ha restringido la formación de un mercado unificado en el campo de circulación farmacéutica nacional y la expansión y desarrollo de la industria minorista farmacéutica. Las operaciones en cadena requieren adquisiciones unificadas, distribución unificada y gestión unificada en todas las regiones, lo que es inherentemente incompatible con la gestión de la división administrativa.
3. El nivel de gestión interna de las empresas está atrasado, la eficiencia de escala no es alta y las diferencias regionales son obvias. El principal medio de competencia es la guerra de precios.
Debido a razones históricas, la industria minorista farmacéutica tiene una base débil, un diseño disperso, operaciones no profesionales, a gran escala e intensivas, y barreras de entrada bajas. Después de que se levantó la prohibición de las drogas, la competencia entre las cadenas de farmacias se basó principalmente en guerras de precios. Al mismo tiempo, las empresas sólo se centran en la expansión de escala y el aumento de cantidad. Muchas cadenas de tiendas tienen la marca de la sede, pero sus modelos comerciales originales de tienda única rara vez se mejoran o incluso se copian, y simplemente no pueden cumplir con los requisitos únicos de las cadenas de tiendas en términos de adquisiciones, publicidad, logística, diseño de imagen, etc. y la unidad de escala interna. Además, la división interna del trabajo en la gestión no es clara y la coordinación no es científica, lo que genera mayores costos de gestión y la incapacidad de aprovechar las ventajas de escala y precio de las operaciones de la cadena.
En la actualidad, a juzgar por la situación general de las empresas de cadenas farmacéuticas de mi país, las ciudades abiertas y desarrolladas del sur se están desarrollando más rápido que las ciudades del norte, en particular las cadenas de farmacias de Shenzhen se están desarrollando rápidamente. y a un alto nivel. Concorde, Zhonglian y Neptune Como representantes, cada uno tiene sus propias características. En el norte, hay principalmente algunas farmacias, incluidas Tongrentang Pharmacy, Golden Elephant Pharmacy y Jervis Pharmacy. La competencia en la industria minorista de productos farmacéuticos es bastante feroz.
3. Análisis de contramedidas para el desarrollo de operaciones de la cadena farmacéutica
1. La elección del modelo de operación de la cadena debe ser adecuada.
Actualmente existen tres modelos de operación de cadenas populares en el mundo: cadena convencional, cadena libre y cadena de franquicia. En vista del gran número y la pequeña escala de las empresas de distribución farmacéutica de mi país, la feroz competencia en el mercado y el gran impacto de las empresas de renombre internacional, las empresas de distribución farmacéutica deberían adoptar una combinación de cadenas formales y franquicias para obtener primero un pase para ingresar al mercado. y luego explorar gradualmente soluciones adecuadas a través de la optimización e integración del propio modelo de negocio.
(1) La sede es una empresa de distribución de productos farmacéuticos de marca famosa y consagrada. La mayoría de estas empresas son organizaciones de cadenas regionales. Con el levantamiento de las restricciones regionales, han avanzado gradualmente hacia la nacionalización, tienen una rica experiencia de gestión en las operaciones de la cadena farmacéutica y tienen efectos de marca en la circulación farmacéutica. Deben adoptar el modelo de cadena de franquicias, prestar atención a la calidad de las tiendas franquiciadas y evitar cadenas falsas e irregulares.
(2) La sede es una antigua empresa mayorista de productos farmacéuticos. La principal ventaja de este tipo de empresas radica en la fluidez de los canales de importación y venta. Según el sistema tradicional, se controla un gran número de terminales de ventas y las empresas farmacéuticas mayoristas pueden tomar la iniciativa en el desarrollo de un modelo de cadena libre. Las empresas están relativamente poco vinculadas entre sí y utilizan la logística y la distribución de la sede central para reducir costes.
2. Establecer un sistema de gestión de la información es una forma eficaz para que las empresas de la cadena farmacéutica se desarrollen y crezcan.
Sólo haciendo un uso completo de las computadoras electrónicas para la gestión de la información podremos realmente mejorar la eficiencia de la gestión, reducir los costos de gestión y maximizar el efecto de escala de la expansión. Recopilar información a través de códigos de barras y sistemas de recolección para rastrear las tendencias de venta de medicamentos, mejorando así la logística y la eficiencia de distribución.
3. Integrar las empresas de la cadena farmacéutica existente, mejorar la competitividad y estar plenamente preparados para afrontar los desafíos de la inversión extranjera.
El objetivo final de la operación de la cadena es lograr economías de escala. Sólo cuando se alcance una determinada escala y número de sucursales se podrán aprovechar plenamente las ventajas logísticas y de distribución de la sede de la cadena y minimizar los costos.
4. Lograr una combinación completa de mantenimiento de la unidad e incentivos efectivos.
Mantener la unidad de las tiendas, la publicidad y la logística es una manifestación importante de las operaciones de la cadena. Mejorar la eficiencia y reducir los costos son el valor de las operaciones de la cadena. Establecer un mecanismo de incentivos eficaz entre la sede y las sucursales puede estimular el entusiasmo de los empleados.
5. Reducir los precios de los medicamentos, lograr pequeñas ganancias pero una rápida rotación y beneficiar a los consumidores.
Con la liberalización gradual de la gestión de medicamentos en mi país, especialmente los medicamentos de venta libre (OTC), las formas de la cadena de medicamentos han reducido los eslabones intermedios. Al mismo tiempo, la gran entrada de capital ha hecho que la competencia. feroz, y las reducciones de los precios de los medicamentos se han convertido en una tendencia inevitable. Ante esta tendencia, las cadenas farmacéuticas deberían bajar los precios de los medicamentos lo antes posible para beneficiar a los consumidores. Sólo las empresas que consideran a sus clientes finales como Dios son empresas verdaderamente competitivas.
6. La ubicación de las cadenas de tiendas debe basarse en el principio de conveniencia.
Los medicamentos son mercancías estrechamente relacionadas con la vida de las personas, y sus ventas también deben satisfacer las necesidades de comodidad y rapidez de las personas. Las cadenas de farmacias deben ubicarse en zonas residenciales y comerciales en la medida de lo posible para facilitar la compra de las personas.
7. Mejorar los conocimientos médicos y la ética profesional del personal de venta farmacéutica.
Tradicionalmente, las farmacias eran sólo lugares donde se vendían medicamentos. Sin embargo, con la popularidad de los medicamentos sin receta, la gente ha considerado a las farmacias como pequeños hospitales y, a menudo, hacen preguntas relacionadas con la eficacia de los medicamentos. Por tanto, las empresas de la cadena farmacéutica deben prestar atención y mejorar el nivel de conocimientos médicos y la ética profesional del personal de ventas.
En cuarto lugar, la operación en cadena de Beijing Guoda Pharmacy
1 Perfil de la empresa
El capital registrado de Beijing Guoda Pharmacy Chain Co., Ltd. es 65,438+. 00 Diez mil yuanes. Con más de 300 empleados, la empresa implementa un sistema de responsabilidad gerencial bajo el liderazgo del consejo de administración. La empresa consta de un departamento comercial, un departamento de desarrollo comercial, un departamento de compras y distribución, un departamento de gestión de calidad, un departamento de recursos humanos, una oficina del gerente, un departamento de información, un departamento de finanzas y otros departamentos. Actualmente, la empresa cuenta con casi 40 tiendas operadas directamente en Beijing. Según el plan de desarrollo de la compañía, en 2007 habrá cerca de 100 farmacias comunitarias de salud y caridad en Beijing.
Beijing Guoda Pharmacy Chain Co., Ltd. es una subsidiaria de propiedad total de Sinopharm Group Pharmaceutical Co., Ltd., una subsidiaria de propiedad total de China National Pharmaceutical Group Corporation.
La Corporación del Grupo Farmacéutico Nacional de China se estableció el 26 de octubre de 1998 de 165438. Es el grupo empresarial farmacéutico más grande de China, que se dedica principalmente a la investigación científica, la producción y el comercio de servicios farmacéuticos, y cuenta con diez filiales de propiedad absoluta o holdings. En 2005, los ingresos por ventas de medicamentos y dispositivos médicos ascendieron a 25.700 millones de yuanes y el volumen de importaciones y exportaciones fue de 500 millones de dólares estadounidenses.
Bajo Sinopharm Group Pharmaceutical Co., Ltd., existe una subsidiaria de propiedad absoluta Sinopharm Logistics Co., Ltd., que es una empresa de modernización farmacéutica de terceros establecida por Sinopharm Group en 2002 junto con Reconocidas empresas nacionales y extranjeras en el centro de logística de la Zona de Desarrollo Económico y Tecnológico de Beijing con un capital registrado de 60 millones de yuanes.
Sinopharm Logistics se compromete a proporcionar servicios de logística farmacéutica de terceros a fabricantes de productos farmacéuticos, empresas de distribución de productos farmacéuticos, empresas minoristas de productos farmacéuticos e industrias relacionadas con los productos farmacéuticos nacionales y extranjeros. El radio de distribución diseñado está dentro de los 500 kilómetros de Beijing y sus alrededores, y la escala de almacenamiento y distribución puede alcanzar los 20 mil millones de yuanes.
2. Estrategia nacional de cadena de farmacias
(1) Sinopharm Pharmaceutical Co., Ltd. es una antigua empresa de distribución farmacéutica de propiedad estatal con un canal de ventas muy maduro y completo y muchas exclusivas. Variedad de distribuidores. Luego, como subsidiaria, Guoda Pharmacy puede utilizar estos canales de la empresa matriz para obtener variedades exclusivas de los fabricantes y utilizar el marketing de los fabricantes para maximizar las ganancias y minimizar los costos. Al mismo tiempo, se instalan médicos residentes en las farmacias para brindar consultas a los clientes que compran medicamentos.
(2) Tras décadas de cuidadosa gestión, “Sinopharm” se ha convertido en una marca, aunque su significado es muy amplio y su negocio abarca muchos campos. Pero cuando la gente vea esta marca, inconscientemente pensarán en las empresas de medicina tradicional china que venden medicamentos. Tendrán más confianza que las empresas farmacéuticas privadas y, psicológicamente, se ganarán a algunos clientes primero. Debido a que el color de la decoración de toda la tienda de Guoda Pharmacy y el logotipo en espiral sobre la puerta son consistentes con la "Medicina China", los clientes naturalmente combinarán los dos. Al mismo tiempo, casi todas las tiendas de Guoda Pharmacy están ubicadas cerca de comunidades, y cada vez más personas conocerán la marca "Sinopharm".
(3) Entre sus propias cadenas de tiendas, Guoda Pharmacy debería ajustar sus variedades comerciales según las diferentes regiones y tipos de comunidad. Por ejemplo, Wangjing en Beijing es una zona residencial para algunas personas con ingresos relativamente altos. En términos de variedades comerciales, debemos aumentar adecuadamente los medicamentos con buenos efectos curativos y calidades relativamente altas para satisfacer las necesidades de consumo de los diferentes grupos de ingresos.
(4) Guoda Pharmacy tiene más de 40 cadenas de tiendas. Si los fondos lo permiten, debería continuar expandiéndose en el futuro. Un cierto número de sucursales pueden aprovechar al máximo las ventajas de distribución de China Pharmaceutical Logistics, minimizar costos y ganar clientes a precios relativamente bajos. Sólo así podremos obtener una ventaja en la competencia con otras cadenas de farmacias.
(5) Reforzar la formación de los empleados de las tiendas. Para que el personal de ventas pueda dominar los conocimientos médicos básicos y ofrecer a los clientes ayuda y sugerencias preliminares.
Con la liberalización de la inversión extranjera, la competencia en el mercado de operación de la cadena farmacéutica será cada vez más feroz, y las ventajas del modelo de operación de la cadena con estructura organizacional plana, velocidad de circulación rápida y ahorro de costos serán cada vez más obvias. . Entre las muchas cadenas farmacéuticas que adoptan este modelo, sólo si tienen sus propias ventajas, es decir, las farmacias nacionales deben centrarse en desarrollar sus propias ventajas de marca y de costos, podrán seguir siendo invencibles en la feroz competencia del mercado.
(Referencias omitidas)
(Afiliación del autor: Escuela de Negocios de la Universidad Renmin de China)
O
Durante mucho tiempo, la gente se ha centrado en confiar en la tecnología para garantizar la seguridad de la información, desde las primeras tecnologías de cifrado, copias de seguridad de datos y antivirus hasta firewalls, detección de intrusiones y autenticación de identidad en entornos de red recientes. Los fabricantes no escatiman esfuerzos en la investigación y el desarrollo de tecnologías y productos de seguridad, y constantemente surgen nuevas tecnologías y nuevos productos. Los consumidores también confían más en los productos de seguridad e invierten su único presupuesto en la compra de productos de seguridad. Pero, de hecho, depender únicamente de la tecnología y los productos para garantizar la seguridad de la información suele ser insatisfactorio. Los productos no pueden eliminar muchas amenazas de seguridad complejas y en constante cambio y peligros ocultos. "Tres puntos de tecnología y siete puntos de gestión" son experiencias prácticas y principios resumidos en otros campos, y también son aplicables al campo de la seguridad de la información. Según las estadísticas de los departamentos pertinentes, alrededor del 52% de todos los incidentes de seguridad informática son causados por factores humanos, el 25% son causados por desastres naturales como incendios e inundaciones, el 10% son causados por errores técnicos y el 10% son causados por personal interno. de la organización sólo alrededor del 3% son causados por ataques de personal externo ilegal. En clasificación simple, las razones de gestión representan más del 70% y el 95% de estos problemas de seguridad se pueden evitar mediante la gestión científica de la seguridad de la información.
Por lo tanto, la gestión se convierte en una base importante para la seguridad de la información.
1. La situación actual de la gestión de la seguridad de la información en mi país
(1) Se ha establecido inicialmente el sistema de garantía de la organización nacional de seguridad de la información.
La Oficina de Información del Consejo de Estado ha establecido un grupo líder en seguridad de la información y la red compuesto por departamentos poderosos como el Ministerio de Industria de la Información, el Ministerio de Seguridad Pública, la Administración Nacional del Secreto, la Asociación Nacional de Criptogestión y El Ministerio de Seguridad Nacional también ha establecido los organismos de gestión correspondientes. En julio de 2003, la tercera reunión del Grupo Dirigente de Informatización del Consejo de Estado discutió y adoptó las "Opiniones sobre el fortalecimiento de la seguridad de la información". En septiembre del mismo año, la Oficina General del Comité Central y la Oficina General del Consejo de Estado remitieron las "Opiniones del Grupo Dirigente Nacional sobre el Fortalecimiento de la Seguridad de la Información" (Documento 2003 [27]). El Documento No. 27 elevó por primera vez la seguridad de la información al nivel de promover el desarrollo económico, mantener la estabilidad social, salvaguardar la seguridad nacional y fortalecer la civilización espiritual, y propuso una política de gestión de la seguridad de la información de "defensa activa y prevención integral".
En julio de 2003, se estableció el Centro de Coordinación Técnica de Respuesta a Emergencias de la Red Informática Nacional (CNCERT/CC), responsable de recopilar, resumir, verificar y publicar información autorizada sobre respuesta a emergencias, brindando servicios de respuesta a emergencias a importantes departamentos nacionales. y coordinar La organización CERT a nivel nacional maneja incidentes de seguridad de redes a gran escala, recopila estadísticas sobre datos de respuesta a emergencias informáticas a nivel nacional, propone las contramedidas correspondientes basadas en la situación actual y se comunica con los CERT en otros países y regiones. Actualmente, se han establecido 31 subcentros en todo el país y se ha autorizado a 10 unidades piloto nacionales de respuesta a emergencias de Internet pública, 20 unidades piloto provinciales de respuesta a emergencias de Internet pública y 10 empresas operadoras nacionales de Internet troncal a establecer sus propios centros de respuesta a emergencias. (CERT). Estos 10 operadores de Internet, junto con miles de ISP nacionales, usuarios individuales y usuarios empresariales, se han convertido en los principales miembros de contacto de CNCERT/CC, formando así un sistema de emergencia tridimensional y entrelazado y un sistema de notificación para la transmisión fluida de las principales noticias. abajo información.
En mayo de 2001, se estableció el Centro de Certificación y Evaluación de Productos de Seguridad de la Información de China (CNITSEC) para representar la agencia funcional nacional de evaluación y certificación de seguridad de la información, administrar y operar de acuerdo con las leyes y regulaciones nacionales sobre la calidad de los productos. Certificación y gestión de seguridad de la información. Sistema nacional de evaluación y certificación de seguridad de la información. Responsable de la evaluación y certificación de productos y tecnologías de la información de seguridad de la información nacionales y extranjeros, la evaluación y certificación de seguridad de sistemas y proyectos de información nacionales, la evaluación y certificación de organizaciones y unidades que brindan servicios de seguridad de la información, y la evaluación y certificación de calificación de profesionales de seguridad de la información. Actualmente, cuenta con cinco centros autorizados de evaluación y certificación en Shanghai, noreste, suroeste, centro de China y norte de China y dos laboratorios de tecnología de evaluación y seguridad de sistemas.
(2) Se han formulado y promulgado una serie de importantes estándares de gestión de seguridad de la información.
Con el fin de promover mejor la gestión de la seguridad de la información de mi país, el Ministerio de Seguridad Pública presidió la formulación de la norma nacional GB17895-1999 "Estándar de calificación de protección de seguridad del sistema de información informática" emitida por la Oficina Estatal de Calidad. y Supervisión Técnica. Y presentó la norma internacionalmente reconocida ISO 17799: 2000: Directrices de implementación de gestión de seguridad de la información, BS 7799-2: 2002: Especificaciones de implementación del sistema de gestión de seguridad de la información, ISO/IEC 15408:1999 (GB/T 65438+). bajo los 10 grupos de trabajo, de los cuales el grupo de trabajo de gestión de seguridad de la información es responsable de proponer requisitos normativos y orientación sobre la gestión administrativa, técnica y de personal de la seguridad de la información, incluidas directrices de gestión de seguridad de la información, especificaciones de implementación de la gestión de seguridad de la información, capacitación del personal, educación. y requisitos de empleo, especificaciones de gestión de servicios socializados de seguridad de la información, marco de especificaciones comerciales de seguros de seguridad de la información y requisitos y orientación de la política de seguridad
(3) Desarrollar una serie de leyes y regulaciones necesarias para la gestión de seguridad de la información
<. p> Desde principios de la década de 1990, para satisfacer las necesidades de la gestión de la seguridad de la información, el estado, los departamentos, industrias y gobiernos locales pertinentes han formulado sucesivamente el "Reglamento provisional de la República Popular China sobre la gestión de redes internacionales de información informática". Redes", "Reglamento sobre la Gestión de Contraseñas Comerciales", "Medidas de Gestión de Servicios de Información de Internet", "Medidas de Gestión de Protección de Seguridad de Redes Internacionales de Redes de Información Informática", "Medidas de Gestión de Prevención y Control de Virus Informáticos", "Reglamento de Gestión de Servicios de Tablón de Anuncios de Internet ", "Reglamento de gestión de servicios de información de Internet"(4) La evaluación de riesgos de seguridad de la información se toma en serio y se lleva a cabo.
La evaluación de riesgos es una de las tareas centrales de la gestión de seguridad de la información.
En julio de 2003, el Grupo de Investigación de Evaluación de Riesgos de Seguridad de la Información de la Oficina Estatal de Información comenzó a preparar normas pertinentes para la evaluación de riesgos de seguridad de la información. Como pioneros, China Railway System y Beijing Mobile Communications Company han completado el trabajo piloto de evaluación de riesgos de seguridad de la información, y otras industrias o sistemas clave en todo el país (como electricidad, telecomunicaciones, banca, etc.) también llevarán a cabo este trabajo.
2. Algunos problemas existentes en la gestión de la seguridad de la información en mi país
1. La situación actual de la gestión de la seguridad de la información sigue siendo relativamente caótica y carece de una estrategia general nacional. La gestión real es insuficiente y la implementación y supervisión de políticas son insuficientes. Algunas regulaciones enfatizan demasiado las características del propio departamento y no reflejan las características de China en el entorno político y económico internacional. Algunas regulaciones no distinguen con precisión la relación entre tecnología, gestión y sistema legal. Es relativamente común reemplazar la ley por la gestión y utilizar tecnología de gestión administrativa, lo que resulta en una pobre operatividad del sistema.
2. Aún no se ha establecido un sistema de gestión de seguridad de la información con características chinas. Este sistema es dinámico y cubre organización, documentos, medidas de control, procesos y procedimientos operativos y recursos relacionados.
3. Es necesario mejorar el sistema estándar de evaluación de riesgos de seguridad de la información con características chinas. Es difícil determinar las necesidades de seguridad de la información, los objetos de protección y los límites. Carece de una evaluación y evaluación de riesgos de seguridad de la información sistemática y completa. y un completo y completo sistema de garantía de seguridad de la información.
4. Falta conciencia sobre la seguridad de la información y existe una mentalidad generalizada de centrarse en los productos, descuidar los servicios, centrarse en la tecnología y descuidar la gestión.
5. Inversión insuficiente en fondos especiales, escasez extrema de talentos de gestión, investigación teórica básica y tecnologías clave débiles y gran dependencia de países extranjeros. La tecnología y los equipos de información introducidos carecían de la gestión eficaz y la transformación técnica necesarias para garantizar la seguridad de la información.
6. La innovación tecnológica es insuficiente y el nivel y la calidad de los productos de gestión de seguridad de la información no son altos, en particular la investigación y el desarrollo de productos de plataformas de gestión de seguridad cuyas tareas principales son la configuración centralizada y la gestión centralizada. , los informes de estado y la interacción estratégica todavía están rezagados.
7. La falta de agencias de gestión legislativa autorizadas, unificadas y especializadas para la organización, planificación, gestión y coordinación de la implementación ha dado como resultado que algunas de las leyes y regulaciones de gestión de seguridad de la información existentes en mi país tengan niveles legales bajos y pocas leyes reales, como demasiadas regulaciones administrativas, estructura irrazonable y fragmentación; entidades policiales poco claras, múltiples administraciones, múltiples políticas, cada una haciendo lo suyo, reglas contradictorias, falta de operatividad, dificultad de implementación y dificultad para tener. leyes a seguir; cantidad insuficiente y contenido poco claro Perfección, el ciclo de formulación es demasiado largo, demoras y a menudo no se pueden seguir; la supervisión es débil, las leyes no se cumplen y la aplicación de la ley no es estricta; falta información básica especializada; faltan leyes de seguridad de la información, como la ley de seguridad de la información, la ley de comercio electrónico, etc.; la legislación de derecho civil, como la Ley de Privacidad de la red, la Ley de Reputación de Internet, la Ley de Protección de los Derechos de Autor de Internet, etc., es deficiente; El equipo encargado de hacer cumplir la ley es débil y falta talento.
8. China tiene muy pocos estándares de gestión de seguridad de la información y la mayoría de ellos siguen estándares internacionales. En el proceso de implementación de estándares, la falta de mecanismos nacionales de supervisión y gestión y de garantías legales impide que algunas empresas o usuarios implementen los estándares, y los problemas que surgen durante la implementación no pueden resolverse de manera oportuna y adecuada.
3. Varias contramedidas para la gestión de la seguridad de la información en China
(1) En cuanto al sistema de liderazgo, se recomienda establecer un Comité Nacional de Seguridad de la Información como principal enlace para la cooperación entre las agencias nacionales. , gobiernos locales y el sector privado y promotor, responsable de la coordinación general del trabajo de protección interdepartamental y del establecimiento de un sistema nacional de seguridad de la información con capacidades de protección de la seguridad de la información, capacidades de descubrimiento de peligros ocultos, capacidades de emergencia de la red y contramedidas de información. capacidades lo antes posible.
(2) Reemplace los métodos anteriores de bloqueo, aislamiento y defensa pasiva con defensas abiertas, desarrolladas y activas, y preste mucha atención a la gestión de usuarios, la gestión del comportamiento, el control de contenido, la gestión de aplicaciones y el almacenamiento de la gestión de la intranet, adhiriéndose a la política de "protección multicapa, protección activa". Fortalecer la investigación, formulación e implementación de estrategias de seguridad de la información. Las autoridades nacionales de seguridad de la información y el Comité de Estándares deben brindar apoyo estándar para que las organizaciones formulen estrategias de seguridad de la información, garantizar que las organizaciones puedan formular estrategias profesionales de seguridad de la información a costos muy bajos y mejorar el nivel general de gestión de seguridad de la información de nuestro país.
(3) Mejorar aún más la construcción del sistema nacional de gestión de emergencias de Internet, lograr un comando y división del trabajo unificados en todo el país y mejorar integralmente el nivel de formulación de planes y capacidades de procesamiento. Al mismo tiempo que se establece un sistema de presentación de información confidencial similar al SARS, se debe establecer una "fuerza de seguridad de la información" similar a "110" y "119" en el sistema de seguridad pública existente para que sea responsable de la seguridad de la red de información, la supervisión de la seguridad, la respuesta a emergencias de seguridad y disuasión de seguridad. Desarrollar planes de emergencia para instalaciones o sistemas clave, y actualizar y probar periódicamente los planes de emergencia de seguridad de la información.
(4) Acelerar la legislación y la supervisión de la seguridad de la información. Se recomienda establecer una organización legislativa y una agencia de gestión de seguridad de la información unificada, autorizada y profesional para planificar, diseñar, supervisar y coordinar de manera integral la implementación de la información de mi país. sistema legal y acelerar la legislación y supervisión de seguridad de la información de China. Establecer un sistema legal de seguridad de la información único y revisar las leyes y regulaciones promulgadas de acuerdo con los requisitos de seguridad de la información. Se deben formular lo antes posible políticas y reglamentos como la Ley Básica de Seguridad de la Información, la Ley de Protección Juvenil en Internet y los Reglamentos Gubernamentales sobre Divulgación de Información. En particular, para cooperar con la implementación de la Ley de Firma Electrónica e implementar las opiniones de la Oficina General del Consejo de Estado sobre la aceleración del desarrollo del comercio electrónico, debemos estudiar rápidamente las transacciones electrónicas, la gestión de crédito, la certificación de seguridad, en línea. pagos, impuestos, acceso al mercado, protección de la privacidad, gestión de recursos de información, etc. Propondremos la formulación de leyes y regulaciones relevantes lo antes posible, promoveremos la construcción de servicios legales y sistemas de garantía como el arbitraje en línea y la notarización en línea;
(5) Acelerar la formulación e implementación de la estandarización de la seguridad de la información y formular un sistema estándar de gestión de seguridad de la información basado en la norma internacional ISO/IEC 17799 y adecuado para mi país lo antes posible, especialmente el establecimiento y mejora de los estándares de evaluación y gestión de riesgos de seguridad de la información. Mecanismo para implementar periódicamente algunas infraestructuras nacionales clave y sistemas de información importantes de acuerdo con los estándares nacionales, como economía, ciencia y tecnología, estadísticas, banca, ferrocarriles, aviación civil, aduanas, etc.
(6) Adherirse al principio de "centrarse en la defensa interna y defender tanto interna como externamente" y aumentar la popularización de la seguridad de la información y la publicidad respetuosa de la ley a través de conferencias, sitios web, radio y televisión, periódicos y otros medios de comunicación. , mejorando así la conciencia de seguridad de la información de todo el pueblo, especialmente fortaleciendo la capacitación y educación en conocimientos de seguridad de la información para el personal dentro de organizaciones o empresas, y mejorando el nivel de autodisciplina de seguridad de la información de los empleados. En los departamentos, empresas e instituciones nacionales clave, las responsabilidades de seguridad de la información deben estar claramente definidas. Se recomienda que los principales líderes del partido y el gobierno sean las personas responsables del trabajo de seguridad de la información de la unidad. Las empresas calificadas deben agregar el CSO (jefe). oficial de seguridad) posiciones para formar un sistema de gestión y liderazgo vertical y horizontal.
(7) Se recomienda que el gobierno formule políticas preferenciales, establezca un fondo especial para la gestión de la seguridad de la información, fomente el capital de riesgo y mejore las capacidades de investigación independiente y las capacidades de tecnologías clave, como la gestión integral de la seguridad de la información. plataformas, herramientas de gestión, análisis forense de redes y recuperación de accidentes a nivel de desarrollo de productos.
(8) Preste atención y fortalezca la protección del nivel de seguridad de la información, implemente la certificación obligatoria para productos de seguridad de la información importantes y los usuarios en campos específicos deben comprar claramente productos de seguridad de la información certificados.
(9) Fortalecer la formación de gerentes de seguridad de la información y equipos de aplicación de la ley, especialmente aumentar la capacitación de talentos compuestos que comprendan tanto la tecnología como la gestión.
(10) Fortalecer la cooperación internacional, especialmente los intercambios internacionales, la cooperación y la colaboración en estándares, tecnología, recopilación de evidencia, respuesta a emergencias, etc. (El autor es el responsable de los proyectos nacionales relacionados con la seguridad de la información en la Escuela de Ingeniería de la Información de la Universidad de Guizhou)