Red de conocimiento de recetas - Industria de la restauración - ¿Cómo redactar un informe de propuesta sobre control de costes corporativos? ¿Cómo escribir la base de selección del tema, la importancia de la investigación y el estado de la investigación?

¿Cómo redactar un informe de propuesta sobre control de costes corporativos? ¿Cómo escribir la base de selección del tema, la importancia de la investigación y el estado de la investigación?

1. Antecedentes del desarrollo de las operaciones de la cadena farmacéutica

En los últimos años, la reforma de la industria farmacéutica de China ha seguido intensificándose, se ha liberalizado gradualmente la circulación de medicamentos, se han clasificado y gestionado los medicamentos y la circulación farmacéutica. El mercado se ha abierto a la inversión extranjera. Estas reformas y cambios han tenido un gran impacto en la industria farmacéutica, y el patrón de circulación de la industria farmacéutica también sufrirá grandes cambios. Sin embargo, debido al relativo retraso en la reforma del sistema de distribución de productos farmacéuticos de mi país, las operaciones de la cadena farmacéutica todavía están eclipsadas por otras industrias. Aunque el retraso en la reforma médica ha resultado en una situación relativamente atrasada para las operaciones de la cadena farmacéutica, también ha traído enormes beneficios. oportunidades para las operaciones de la cadena farmacéutica.

Como modelo avanzado de gestión empresarial, la operación de la cadena farmacéutica es fundamentalmente diferente del modo de operación farmacéutica tradicional que integra compras y ventas: sus canales de compra están separados de las funciones de ventas, especialmente el modelo de distribución intensiva. medios importantes para generar economías de escala, reducir los costos unitarios de los productos y mejorar la competitividad corporativa. Este modelo de negocio de distribución centralizada romperá por completo el sistema mayorista de productos farmacéuticos de cuatro niveles bajo el sistema de economía planificada original de mi país. Con la continua profundización de la reforma del sistema médico y de salud de mi país, la reforma del sistema de seguro médico de los empleados urbanos y el llamado a una contabilidad separada y una gestión separada de los medicamentos, la industria minorista farmacéutica se ha convertido en un nuevo punto de inversión y un foco social. lugar.

2. La situación actual y los problemas existentes de las cadenas farmacéuticas

Desde 1995 hasta la actualidad, las empresas de cadenas farmacéuticas de mi país se han desarrollado rápidamente desde las primeras a más de 400, y las El número de tiendas ha aumentado a casi 7.800. Hay muchas empresas y su escala comercial también está en constante expansión. No hay duda de que las cadenas de farmacias, como herramienta para rodear la adhesión de mi país a la OMC, se han convertido en una opción inevitable para las empresas distribuidoras de medicamentos. Según estadísticas de expertos pertinentes, en los próximos 2 o 3 años, más de 70 farmacias entrarán en la cadena de empresas farmacéuticas. Al mismo tiempo, las cadenas farmacéuticas también seguirán adaptándose y desarrollándose gradualmente hacia una forma especializada de operar múltiples marcas de categorías únicas o varias categorías principales de productos farmacéuticos. Sin embargo, a pesar del rápido desarrollo de las cadenas farmacéuticas en mi país en los últimos años, factores como los cierres ciegos de las cadenas, la protección local severa y la gestión interna irregular se están convirtiendo cada vez más en factores indeseables que restringen el desarrollo saludable de las cadenas farmacéuticas. Los principales problemas se resumen a continuación:

1. Preste atención a la escala y la forma de la cadena, ignore la estructura interna y los estándares de la cadena e ignore la construcción de la infraestructura de la cadena.

Éste es el mayor peligro oculto de las operaciones de la cadena farmacéutica. El alto margen de beneficio bruto del 20 al 30% en las ventas minoristas de medicamentos ha convertido a la industria minorista de medicamentos en un foco estratégico para los príncipes de la industria farmacéutica. Muchas empresas sólo se centran en la escala y la cantidad. La gestión estandarizada de las operaciones en cadena a menudo sólo se centra en la unidad de las formas externas e ignora la construcción de bases internas. Muchos franquiciadores de franquicias a menudo tienen la capacidad de atraer franquiciados, pero en cambio utilizan la franquicia como único medio para expandir la escala. Al mismo tiempo, para fortalecer su fuerza, los franquiciadores a menudo se centran en la solicitud y la falta de revisión de todos los aspectos de las condiciones de los franquiciados, lo que resulta en una mezcla de franquiciados que algunos operadores no cumplen con las condiciones de la franquicia. dañados e incluso comprar productos a bajo precio de otros canales hacen que la supervisión de la calidad de los medicamentos esté fuera de control.

2. Los derechos de propiedad y las afiliaciones están fragmentados y el proteccionismo local restringe el desarrollo interregional de las cadenas farmacéuticas.

La gestión de múltiples niveles y la división de intereses provocada por el sistema de gestión y supervisión administrativa original de mi país han llevado a una segmentación departamental y un grave proteccionismo local en el campo de la circulación farmacéutica, lo que ha restringido la formación de un mercado unificado. en el campo de la circulación farmacéutica nacional y también restringió la expansión y el desarrollo de la industria minorista farmacéutica. Las operaciones en cadena requieren adquisiciones unificadas, distribución unificada y gestión unificada en todas las regiones, lo que es inherentemente incompatible con la gestión de la división administrativa.

3. El nivel de gestión interna de las empresas está atrasado, la eficiencia de escala no es alta, las diferencias regionales son obvias y la guerra de precios es el principal medio de competencia.

Debido a razones históricas, la industria minorista farmacéutica tiene una base débil, un diseño disperso, operaciones no profesionales, intensivas y a gran escala, y barreras de entrada bajas. Después de que se levantó la prohibición de las drogas, la competencia entre las cadenas de farmacias se basó principalmente en guerras de precios.

Al mismo tiempo, las empresas sólo se centran en la expansión de escala y el aumento del número de cadenas de tiendas. Muchas cadenas de tiendas llevan la marca de la sede central y apenas las mejoran o ni siquiera las copian. satisfacer las necesidades de las cadenas de tiendas en compras, publicidad y logística, diseño de imagen y otros aspectos y la unidad de escala inherente. Además, la división del trabajo de la gestión interna no es clara y la coordinación carece de cientificidad, lo que conduce a un aumento de la gestión. costos y la incapacidad de aprovechar plenamente las ventajas de escala y precio de las operaciones de la cadena.

En la actualidad, a juzgar por la situación general de las empresas de cadenas farmacéuticas de mi país, el desarrollo de las ciudades abiertas y desarrolladas en el sur es más rápido que el de las ciudades del norte, especialmente las cadenas de farmacias se están desarrollando rápidamente y en Shenzhen. Un nivel alto, con Uni-President y Hualian y Neptune están representados, y cada uno de los tres tiene sus propias características. En Beijing, Shanghai y Guangzhou, la competencia entre un grupo de farmacias lideradas por Tongrentang Pharmacy, Jinxiang Pharmacy y Gezhi Pharmacy es bastante feroz.

3. Análisis de contramedidas para el desarrollo de operaciones de la cadena farmacéutica

1. La elección del modelo de operación de la cadena debe ser adecuada.

En la actualidad, existen tres modelos populares de operación de cadenas en el mundo: cadena convencional, cadena libre y cadena de franquicia. En vista de la situación actual de gran número, pequeña escala y feroz competencia en el mercado de las empresas de la cadena farmacéutica en mi país, frente al impacto de las empresas de renombre internacional, las empresas de circulación farmacéutica deberían adoptar una combinación de cadena formal y franquicia para obtener primero un pase a Ingrese al mercado y luego optimice la integración y explore gradualmente un modelo de negocio adecuado para la empresa.

(1) La sede está ubicada en una empresa de distribución farmacéutica de marca famosa y consagrada. La mayoría de estas empresas son organizaciones de cadenas regionales, que se están nacionalizando gradualmente a medida que se levantan las restricciones regionales. Tienen una rica experiencia en la gestión de cadenas farmacéuticas y tienen efectos de marca en la circulación de medicamentos. Deben adoptar el método de cadena de franquicia, pero también debemos prestar atención. a la franquicia. La calidad de la franquicia evita cadenas falsas e irregulares.

(2) La sede es una empresa mayorista de medicamentos original. La principal ventaja de este tipo de empresas reside en la fluidez de los canales de importación y venta. En el sistema tradicional, es necesario controlar un gran número de terminales de venta. Las empresas farmacéuticas mayoristas pueden tomar la iniciativa en el desarrollo de cadenas de tiendas gratuitas. Conecte a las empresas de manera relativamente flexible y utilice la logística y distribución de la sede para reducir costos.

2. Establecer un sistema de gestión de la información es una forma eficaz para que las empresas de la cadena farmacéutica se desarrollen y crezcan.

Solo haciendo un uso completo de las computadoras electrónicas para la gestión de la información podremos realmente mejorar la eficiencia de la gestión, reducir los costos de gestión y maximizar los efectos de escala. Recopilar información a través de códigos de barras y sistemas de recolección para rastrear las tendencias de venta de medicamentos, mejorando así la logística y la eficiencia de distribución.

3. Integrar las empresas de la cadena farmacéutica existente para mejorar la competitividad y estar plenamente preparadas para afrontar los retos de la inversión extranjera.

El objetivo final de la operación de la cadena es lograr economías de escala. Sólo alcanzando una cierta escala y un cierto número de puntos de venta se pueden utilizar plenamente las ventajas logísticas y de distribución de la sede de la cadena y minimizar los costos.

4. Lograr una combinación completa de mantenimiento de la unidad e incentivos efectivos.

Mantener la unidad de las tiendas, la publicidad, la logística y otros eslabones es una manifestación importante de las operaciones de la cadena. Mejorar la eficiencia y reducir los costos son el valor de las operaciones de la cadena. Establecer un mecanismo de incentivos eficaz entre la sede y las sucursales puede estimular el entusiasmo de los empleados.

5. Reducir los precios de los medicamentos, lograr pequeñas ganancias pero una rápida rotación y beneficiar a los consumidores.

Con la liberalización gradual de la gestión de medicamentos por parte del país, especialmente la liberalización de los medicamentos de venta libre (OTC), la forma de la cadena de medicamentos ha reducido el número de eslabones intermedios y la gran entrada de capital. ha intensificado la competencia y reducido los precios de los medicamentos. Es una tendencia inevitable. Ante esta tendencia, las cadenas farmacéuticas deberían bajar los precios de los medicamentos lo antes posible para beneficiar a los consumidores. Sólo las empresas que consideran a sus clientes finales como Dios son empresas verdaderamente competitivas.

6. La ubicación de las cadenas de tiendas debe basarse en el principio de conveniencia.

Los medicamentos son productos básicos que están estrechamente relacionados con la vida de las personas, y sus ventas también deben satisfacer las necesidades de comodidad y rapidez de las personas. Las cadenas de farmacias deben hacer todo lo posible para ubicar farmacias en áreas residenciales y comerciales para facilitar la compra de las personas.

7. Mejorar los conocimientos médicos y la ética profesional del personal de venta farmacéutica.

En el concepto tradicional, una farmacia es simplemente un lugar donde se venden medicamentos. Sin embargo, con la popularidad de los medicamentos sin receta, la gente común ha considerado las farmacias como pequeños hospitales y a menudo hace preguntas sobre la eficacia de los medicamentos.

Por tanto, las cadenas de farmacias deben prestar atención y mejorar los conocimientos médicos y la ética profesional del personal de ventas.

IV. Cadena de farmacias Guoda de Beijing

1. Perfil de la empresa

La cadena de farmacias Guoda de Beijing Co., Ltd. tiene un capital registrado de 10 millones de yuanes. La empresa cuenta actualmente con más de 300 empleados e implementa un sistema de responsabilidad gerencial bajo el liderazgo del consejo de administración. La empresa consta de un departamento comercial, un departamento de desarrollo comercial, un departamento de compras y distribución, un departamento de gestión de calidad, un departamento de recursos humanos, una oficina del gerente, un departamento de información, un departamento de finanzas y otros departamentos. Actualmente, la compañía tiene cerca de 40 tiendas operadas directamente en Beijing. Según el plan de desarrollo de la compañía, en 2007 habrá cerca de 100 farmacias comunitarias de atención médica en todo Beijing.

Beijing Guoda Pharmacy Chain Co., Ltd. es una subsidiaria de propiedad total de Sinopharm Group, que a su vez es una subsidiaria de propiedad total de China National Pharmaceutical Group Corporation.

Sinopharm Group Pharmaceutical Co., Ltd. también tiene una subsidiaria de propiedad absoluta, Sinopharm Logistics Co., Ltd., que es una empresa de terceros establecida por Sinopharm Group en 2002 en Beijing Economic and Technological Development. Zona en conjunto con reconocidas empresas nacionales y extranjeras. Centro logístico farmacéutico moderno con un capital registrado de 60 millones de yuanes.

Sinopharm Logistics se compromete a proporcionar servicios de logística farmacéutica de terceros a fabricantes de productos farmacéuticos, empresas de distribución de productos farmacéuticos, empresas minoristas de productos farmacéuticos e industrias relacionadas con los productos farmacéuticos nacionales y extranjeros. El radio de distribución diseñado es de 500 kilómetros dentro y alrededor de Beijing. Y la escala de almacenamiento y distribución alcanza los 20 mil millones de yuanes.

2. Estrategia de las grandes cadenas de farmacias

(1) Sinopharm Pharmaceutical Co., Ltd. es una antigua empresa de distribución farmacéutica de propiedad estatal que ya cuenta con un conjunto muy maduro y completo. de canales de importación y exportación, y hay muchas variedades de entrega exclusivas. Luego, como subsidiaria de Guoda Pharmacy, puede aprovechar estas ventajas de canal de la empresa matriz para obtener variedades exclusivas de los fabricantes y cooperar con el marketing de los fabricantes para maximizar las ganancias y minimizar los costos. Al mismo tiempo, se instalan médicos residentes en las farmacias para brindar consultas a los clientes que compran medicamentos.

(2) Tras décadas de cuidadosa gestión, "Sinopharm" se ha convertido en una marca, aunque su significado es muy amplio y su negocio abarca muchos campos. Sin embargo, cuando la gente ve esta marca, inconscientemente pensarán en Sinopharm, que vende medicamentos. En comparación con esas empresas farmacéuticas privadas, tendrán una sensación de confianza y psicológicamente ganarán algunos clientes primero. Dado que el color de la decoración general de la tienda y el logotipo en espiral sobre la entrada principal de la farmacia son consistentes con la "medicina china", los clientes naturalmente combinarán los dos. Al mismo tiempo, casi todos los puntos de venta de Guoda Pharmacy están ubicados cerca de las comunidades, y cada vez más personas comenzarán a promocionar la marca "Guoda Pharmacy".

(3) En sus propias cadenas de tiendas, Guoda Pharmacy debería ajustar sus variedades comerciales según las diferentes regiones y los diferentes tipos de comunidades. Por ejemplo, el área de Wangjing en Beijing es una zona residencial para algunas personas con ingresos más altos. En términos de variedades comerciales, los medicamentos con buenos efectos curativos y calidades relativamente altas deben aumentarse adecuadamente para satisfacer las necesidades de consumo de personas con diferentes ingresos.

(4) Guoda Pharmacy tiene más de 40 cadenas de tiendas y debería continuar ampliando su escala en el futuro según lo permitan los fondos. Sólo con un cierto número de puntos de venta podremos aprovechar al máximo las ventajas de distribución de Guoda Pharmaceutical Logistics, minimizar costos y ganar clientes a precios relativamente bajos. Sólo así podremos obtener una ventaja en la competencia con otras cadenas de farmacias.

(5) Reforzar la formación del personal de tienda. Permitir que los vendedores dominen los conocimientos médicos básicos y puedan brindar ayuda y asesoramiento primarios a los clientes.

Con la liberalización de la inversión extranjera, la competencia del mercado en las operaciones de la cadena farmacéutica será cada vez más feroz, y las ventajas de un modelo de operación de la cadena con una estructura organizativa plana, velocidad de circulación rápida y ahorro de costos se convertirán en cada vez más evidente. Según este modelo, que es adoptado por muchas empresas de cadenas farmacéuticas, sólo si tiene sus propias ventajas, es decir, Guoda Pharmacy debe centrarse en desarrollar sus propias ventajas de marca y de costos, podrá seguir siendo invencible en la feroz competencia del mercado.

(Referencias omitidas)

(Afiliación del autor: Escuela de Negocios de la Universidad Renmin de China)

En otras palabras,

Para una Durante mucho tiempo, la gente ha estado favoreciendo la tecnología como medio para garantizar la seguridad de la información, desde las primeras tecnologías de cifrado, copias de seguridad de datos y antivirus hasta firewalls, detección de intrusiones, autenticación de identidad, etc. en el entorno de red en los últimos años. Los fabricantes no escatiman esfuerzos en la investigación y el desarrollo de tecnologías y productos de seguridad, y constantemente surgen nuevas tecnologías y nuevos productos. Los consumidores también confían más en los productos de seguridad e invierten su único presupuesto en la compra de productos de seguridad. Pero el hecho es que depender únicamente de la tecnología y los productos para proteger la seguridad de la información a menudo no es satisfactorio. Muchas amenazas de seguridad complejas y en constante cambio y peligros ocultos no pueden eliminarse confiando en los productos. La experiencia práctica y los principios resumidos en "tecnología de tres puntos, gestión de siete puntos" en otros campos también son aplicables en el campo de la seguridad de la información. Según las estadísticas de los departamentos pertinentes, de todos los incidentes de seguridad informática, alrededor del 52% son causados ​​por factores humanos, el 25% son causados ​​por desastres naturales como incendios e inundaciones, el 10% son causados ​​por errores técnicos, el 10% son causados ​​por personal interno. de la organización, y sólo alrededor del 3% son causados ​​por delincuentes causados ​​por ataques externos. En clasificación simple, la proporción atribuida a razones de gestión llega al 70% y el 95% de los problemas de seguridad pueden evitarse mediante la gestión científica de la seguridad de la información. Por lo tanto, la gestión se ha convertido en una base importante para las capacidades de seguridad de la información.

1. El estado actual de la gestión de la seguridad de la información en mi país

(1) Se ha establecido inicialmente el sistema de garantía de la organización nacional de seguridad de la información

El Consejo de Estado La Oficina de Información ha establecido una red y un liderazgo en seguridad de la información. El grupo está compuesto por miembros del Ministerio de Industria de la Información, el Ministerio de Seguridad Pública, la Administración del Secreto del Estado y la Administración Estatal de Criptozoología. Departamentos poderosos como el Ministerio de Seguridad Nacional y. varias provincias, municipios y regiones autónomas también han establecido los correspondientes organismos de gestión. En julio de 2003, la tercera reunión del Grupo Dirigente de Informatización del Consejo de Estado discutió y aprobó las "Opiniones sobre el fortalecimiento del trabajo de seguridad de la información". En septiembre del mismo año, la Oficina General del Comité Central y la Oficina General del Consejo de Estado remitieron. las "Opiniones del Grupo Dirigente Nacional de Informatización sobre el Fortalecimiento de la Seguridad de la Información" (Documento No. 2003[27]). El "Documento No. 27" planteó por primera vez la seguridad de la información como una promoción del desarrollo económico al nivel de promover el desarrollo económico, mantener la estabilidad social, garantizar la seguridad nacional y fortalecer la construcción de la civilización espiritual, y propuso una política de gestión de la seguridad de la información de "defensa activa". , prevención integral”.

En julio de 2003, se estableció el Centro de Coordinación de Tecnología de Respuesta a Emergencias de la Red Informática Nacional (conocido como CNCERT/CC), específicamente responsable de recopilar, resumir, verificar y publicar información de emergencia autorizada, brindando servicios de emergencia para departamentos nacionales importantes y coordinación La organización nacional CERT maneja incidentes de seguridad de red a gran escala, recopila estadísticas sobre datos relacionados con emergencias informáticas y proporciona información sobre el estado actual de las emergencias informáticas. Elaborar estadísticas sobre la situación nacional de respuesta a emergencias informáticas, proponer las contramedidas correspondientes en función de la situación actual y comunicarse con los CERT de otros países y regiones. En la actualidad, se han establecido 31 subcentros en todo el país y 10 unidades piloto de servicios públicos de respuesta a emergencias por Internet a nivel nacional, 20 unidades piloto de servicios públicos de respuesta a emergencias por Internet a nivel provincial y 10 unidades troncales. Se han autorizado unidades piloto del servicio de respuesta a emergencias de Internet. La empresa operadora establece su propio centro de respuesta a emergencias (CERT) en China y se une a miles de proveedores de servicios de Internet, usuarios individuales y usuarios empresariales en China para convertirse en CNCERT. Estas 10 empresas operadoras de Internet, junto con miles de proveedores de servicios de Internet, usuarios individuales y usuarios corporativos en China, se han convertido en los principales miembros de enlace de CNCERT/CC, formando así un sistema tridimensional entrelazado de respuesta a emergencias y un sistema de notificación que entrega información fluida hacia arriba y hacia abajo.

En mayo de 2001, se estableció el Centro de Certificación y Evaluación de Productos de Seguridad de la Información de China (CNITSEC) para representar la función nacional de evaluación y certificación de la seguridad de la información y gestionar y operar la evaluación de seguridad de la información nacional de acuerdo con la certificación de calidad del producto nacional. y leyes y reglamentos de gestión de seguridad de la información. Es responsable de la evaluación y certificación de productos y tecnologías de la información de seguridad de la información nacionales y extranjeros, la evaluación y certificación de seguridad de sistemas y proyectos de información nacionales, la evaluación y certificación de organizaciones y unidades que brindan servicios de seguridad de la información, y la evaluación y certificación. de cualificaciones profesionales en seguridad de la información.

Actualmente, se han autorizado cinco centros de evaluación y certificación y dos laboratorios de tecnología de evaluación y seguridad de sistemas en Shanghai, el noreste, el suroeste, el centro de China y el norte de China.

(2) Se han formulado y promulgado una serie de importantes estándares de gestión de seguridad de la información.

Para promover mejor el trabajo de gestión de seguridad de la información de mi país, el Ministerio de Seguridad Pública presidió la formulación de la Oficina Nacional de Calidad y Supervisión Técnica Se publicó la Norma Nacional de la República Popular China GB17895-1999 "Directrices para la clasificación de los niveles de protección de seguridad de los sistemas de información informática", y la internacionalmente reconocida "ISO 17799:2000: Seguridad de la información "Sistema de Gestión". ISO 17799: 2000: Guía de implementación de la gestión de seguridad de la información", "BS 7799-2: 2002: Especificación de implementación del sistema de gestión de seguridad de la información", "ISO/IEC 15408: 1999 (GB/T 18336: 2001) - Guía de evaluación de la seguridad de la tecnología de la información” , “SSE-CMM: Modelo de madurez de capacidad de ingeniería de seguridad del sistema” y otros estándares de gestión de seguridad de la información. El Comité de Normalización de la Seguridad de la Información cuenta con 10 grupos de trabajo, entre los cuales el Grupo de Trabajo de Gestión de la Seguridad de la Información es el responsable de proponer requisitos normativos y lineamientos rectores para la gestión administrativa, la gestión técnica y la gestión de personal de la seguridad de la información, incluyendo la “Guía de Gestión de la Seguridad de la Información”, "Especificaciones de implementación de la gestión de seguridad de la información", "Requisitos de capacitación, educación y contratación de personal", "Especificaciones de gestión de servicios socializados de seguridad de la información", "Marco de especificaciones comerciales de seguros de seguridad de la información", "Requisitos y directrices de la política de seguridad", etc. guía".

(3) Se han formulado una serie de regulaciones necesarias para la gestión de la seguridad de la información

Desde principios de la década de 1990, para satisfacer las necesidades de la gestión de la seguridad de la información, el estado, los departamentos pertinentes, Las industrias y los gobiernos locales han El gobierno ha formulado sucesivamente el "Reglamento provisional de la República Popular China sobre la gestión de redes internacionales de redes de información informática", el "Reglamento sobre la gestión de contraseñas comerciales", las "Medidas para la gestión de la información de Internet "Medidas para la gestión de las redes de información informática", y "Medidas para la gestión de los servicios de seguridad de la información", "Medidas administrativas", "Medidas de gestión de la protección de la seguridad de la red internacional de la red de información informática", "Medidas de gestión para la prevención y el control de virus informáticos". ", "Reglamento de gestión del servicio de boletines electrónicos de Internet", "Medidas de gestión de productos de software", "Reglamento provisional de gestión de interconexión de telecomunicaciones", "Ley de firma electrónica y otras leyes y reglamentos de gestión de seguridad de la información

(4) Pago. atención y realización de trabajos de evaluación de riesgos de seguridad de la información

La evaluación de riesgos es una de las tareas centrales de la gestión de seguridad de la información En julio de 2020, el Equipo de Evaluación de Riesgos de Seguridad de la Información de la Oficina de Información del Consejo de Estado lanzó la preparación de. estándares relevantes para la evaluación de riesgos de seguridad de la información, el Sistema Nacional de Ferrocarriles y la Compañía de Comunicaciones Móviles de Beijing, como precursores, han completado el trabajo piloto de evaluación de riesgos de seguridad de la información, otras industrias o sistemas clave en todo el país (como la electricidad, las telecomunicaciones y la banca). , etc.) también realizarán trabajos paulatinamente en esta área

2. Algunos problemas en la gestión de la seguridad de la información en mi país

1. La situación actual de la gestión de la seguridad de la información es todavía relativamente. caótico, sin una estrategia general a nivel nacional. La gestión real no es lo suficientemente fuerte y la implementación y supervisión de políticas no son lo suficientemente fuertes. Algunas regulaciones enfatizan demasiado las características del departamento e ignoran el reflejo de China en el entorno político y económico internacional. Características. Algunas regulaciones no distinguen con precisión la relación entre tecnología, gestión y estado de derecho, y la práctica de reemplazar la ley con la administración y la gestión de la tecnología con la administración es relativamente común, lo que resulta en una débil operatividad del sistema.

2. Aún no se ha establecido un sistema dinámico de gestión de seguridad de la información con características chinas que cubra la estructura organizacional, la documentación, las medidas de control, los procesos y procedimientos operativos y los recursos relacionados.

3. Riesgos de seguridad de la información. con características chinas el sistema estándar de evaluación aún no se ha perfeccionado, las necesidades de seguridad de la información son difíciles de determinar, los objetos y límites de protección son difíciles de determinar y también falta un sistema de evaluación y evaluación de riesgos de seguridad de la información sistemático e integral. como un sistema integral y completo de garantía de seguridad de la información.

4. Falta de concienciación sobre la seguridad, existe una mentalidad generalizada de priorizar los productos sobre los servicios, enfatizando la tecnología sobre la gestión.

5. Inversión insuficiente en fondos especiales, escasez extrema de talentos de gestión, investigación teórica básica y tecnologías clave débiles y gran dependencia de países extranjeros. Falta una gestión eficaz y las garantías necesarias para la transformación tecnológica de la tecnología y los equipos de información importados.

6. La innovación tecnológica es insuficiente y el nivel y la calidad de los productos de gestión de seguridad de la información no son altos, en particular, el desarrollo de productos de plataformas de gestión de seguridad cuyas tareas principales son la configuración centralizada, la gestión centralizada y el estado. la presentación de informes y la interacción política todavía están muy rezagadas.

7. La falta de legislación y agencias de gestión autorizadas, unificadas y especializadas para la organización, planificación, gestión y coordinación de la implementación ha dado como resultado que algunas de las leyes y regulaciones actuales de gestión de seguridad de la información de mi país, el nivel legal no es alto y no hay leyes reales, hay pocas regulaciones, muchas regulaciones administrativas, la estructura no es razonable y el tema de la aplicación de la ley no es claro, hay muchas oficinas de gestión y hay muchas ramas del gobierno; Son independientes, las reglas entran en conflicto entre sí, carecen de operatividad, es difícil de implementar, es difícil cumplir con la ley y es difícil cumplir con la ley, hay leyes que son difíciles. seguir. Es difícil de implementar y es difícil cumplir con la ley; la cantidad es insuficiente, el contenido es imperfecto, el ciclo de formulación es demasiado largo y los retrasos en el tiempo, a menudo no hay base para el cumplimiento; suficiente, no se cumple la ley y la aplicación de la ley es laxa; faltan leyes especiales de seguridad de la información básica, como la Ley de Seguridad de la Información, la Ley de Comercio Electrónico, etc.; falta de legislación de derecho civil, como la Privacidad en Internet; Ley, Ley de reputación en Internet, Ley de protección de derechos de autor en Internet, etc., la conciencia jurídica de los ciudadanos es débil y el equipo encargado de hacer cumplir la ley es débil.

7. La conciencia jurídica de los ciudadanos es débil, el equipo encargado de hacer cumplir la ley es débil y faltan talentos.

8. Existen muy pocos estándares de gestión de seguridad de la información formulados de forma independiente por nuestro país, y la mayoría de ellos son estándares internacionales. En el proceso de implementación de normas, faltan los mecanismos nacionales de supervisión y gestión necesarios y las garantías legales, lo que resulta en la incapacidad de las empresas o usuarios para implementar la estandarización y la incapacidad de resolver rápida y adecuadamente los problemas que surgen durante el proceso de implementación.

3. Varias contramedidas para la gestión de la seguridad de la información en mi país

(1) En términos de sistema de liderazgo, se recomienda establecer un "Comité Nacional de Seguridad de la Información" como agencia nacional. cooperar con los gobiernos locales y el sector privado. El principal enlace y promotor, responsable del trabajo de protección interdepartamental y la coordinación general. Establecer un sistema nacional de seguridad de la información lo antes posible con capacidades de protección de la seguridad de la información, capacidades de detección de peligros ocultos, capacidades de emergencia de la red y capacidades de confrontación de la información.

(2) Reemplace los métodos anteriores de bloqueo, aislamiento y defensa pasiva con métodos abiertos, de desarrollo y de defensa activa, y preste mucha atención a la administración de usuarios de la intranet, la administración del comportamiento, el control de contenido y la administración de aplicaciones. así como la gestión del Almacenamiento se adhiere a la política de “protección multicapa, protección activa”. Fortalecer la investigación, formulación e implementación de políticas de seguridad de la información. Las autoridades nacionales de seguridad de la información y los comités de estándares deben brindar apoyo estándar para que las organizaciones formulen estrategias de seguridad de la información para garantizar que las organizaciones puedan formular estrategias profesionales de seguridad de la información a costos muy bajos y mejorar el nivel general de la gestión de seguridad de la información de mi país.

(3) Mejorar aún más la construcción del sistema nacional de gestión de emergencias de Internet, lograr un comando y división del trabajo unificados en todo el país y mejorar integralmente el nivel de formulación de planes y capacidades de procesamiento. Al establecer un sistema de informes jerárquico de información como el SARS, es necesario establecer una "fuerza de seguridad de la información" como las actuales "110" y "119" en el sistema de seguridad pública existente, especializada en seguridad de redes de información, supervisión de seguridad y respuesta a emergencias de seguridad. y disuasión de seguridad. Se deben formular planes de emergencia para instalaciones o sistemas clave, y los planes de emergencia de seguridad de la información deben actualizarse y probarse periódicamente.

(4) Acelerar la legislación sobre seguridad de la información y la supervisión de su implementación. Se recomienda establecer una organización legislativa y una agencia de gestión de seguridad de la información unificada, autorizada y especializada para planificar, diseñar e implementar de manera integral la coordinación de la supervisión para la construcción de mi. sistema legal de información del país y acelerar Construir un sistema legal de seguridad de la información con características chinas y revisar las leyes y regulaciones promulgadas de acuerdo con los requisitos de seguridad de la información. Se deben formular lo antes posible políticas y reglamentos como la "Ley Básica de Seguridad de la Información", la "Ley de Protección de Internet para Jóvenes" y el "Reglamento Gubernamental de Divulgación de Información". En particular, debemos cooperar con la implementación de la "Ley de Firma Electrónica", implementar las "Diversas Opiniones de la Oficina General del Consejo de Estado sobre la Aceleración del Desarrollo del Comercio Electrónico" y prestar mucha atención a la investigación sobre transacciones electrónicas. gestión de crédito, certificación de seguridad, pagos en línea, impuestos, acceso al mercado, protección de la privacidad. En cuanto a cuestiones legales y regulatorias en la gestión de recursos de información y otros aspectos, debemos presentar opiniones sobre la formulación de leyes y regulaciones relevantes lo antes posible; construcción de servicios legales y sistemas de garantía como arbitraje en red y notariado en red. Construcción de servicios legales y sistemas de seguridad como arbitraje en línea y notariado en línea.

(5) Acelerar la formulación e implementación de la estandarización de la seguridad de la información y formular lo antes posible un sistema estándar de gestión de seguridad de la información basado en la norma internacional ISO / IEC 17799 que sea adecuado para las condiciones nacionales de mi país. especialmente el establecimiento y mejora de estándares y mecanismos de gestión de evaluación de riesgos de seguridad de la información, establecer y mejorar especificaciones de evaluación de riesgos de seguridad de la información y mecanismos de gestión para infraestructuras clave nacionales y sistemas de información importantes como economía, ciencia y tecnología, estadísticas, banca, ferrocarriles, civil. aviación, aduanas, etc., y gestionarlos de conformidad con la ley. En particular, es necesario establecer y mejorar estándares de evaluación de riesgos de seguridad de la información y mecanismos de gestión para algunas infraestructuras nacionales clave y sistemas de información importantes como economía, ciencia y tecnología, estadísticas, banca, ferrocarriles, aviación civil, aduanas, etc. Se deben realizar autoevaluaciones e inspecciones obligatorias periódicamente de acuerdo con las normas nacionales.

(6) Adherirse a la política de "centrarse en la prevención interna y mejorar interna y externamente", aumentar la publicidad respetuosa de la ley de seguridad de la información a través de diversas conferencias, sitios web, radio y televisión, periódicos y otros medios, y mejorar la conciencia nacional sobre seguridad de la información, en particular, es necesario fortalecer la capacitación y educación en conocimientos de seguridad de la información para los empleados dentro de la organización o empresa, y mejorar el nivel de autodisciplina en seguridad de la información de los empleados. Autodisciplina en seguridad de la información. En los departamentos, empresas e instituciones nacionales clave, la persona responsable del trabajo de seguridad de la información debe estar claramente designada. Se recomienda que los máximos líderes del partido y del gobierno sean la persona a cargo del trabajo de seguridad de la información de la unidad. Si lo permiten, las empresas deberían agregar el puesto de CSO (director de seguridad) para formar un sistema de gestión de liderazgo vertical, de abajo hacia arriba y de horizontal a borde.

(7) Se recomienda que el gobierno formule políticas preferenciales, establezca fondos especiales para la gestión de la seguridad de la información, fomente el capital de riesgo y mejore las capacidades independientes de investigación y desarrollo y las tecnologías clave, como las plataformas integrales de gestión de la seguridad de la información. , herramientas de gestión, análisis forense de redes y nivel de recuperación de accidentes.

(8) Prestar atención y fortalecer la protección de los niveles de seguridad de la información, implementar la certificación obligatoria para productos importantes de seguridad de la información y dejar claro que los usuarios en campos específicos deben comprar productos de seguridad de la información certificados.

(9) Fortalecer la formación de gerentes de seguridad de la información y equipos de aplicación de la ley, especialmente el cultivo de talentos compuestos que comprendan tanto la tecnología como la gestión.

(10) Incrementar la cooperación internacional, especialmente en los intercambios internacionales, la colaboración y la cooperación en estándares, tecnología, recopilación de evidencia, respuesta a emergencias y otros aspectos. (El autor es el responsable de los proyectos nacionales relacionados con la seguridad de la información en la Escuela de Ingeniería de la Información de la Universidad de Guizhou)