真正的安全采购流程应该是怎样的?

我们的企业正在考虑新的安全采购计划，但我们的预算有限，我们担心成为供应商“牺牲品”。我们应该制定安全产品采购和供应商选择的基本标准吗？信息安全官在与预选供应商交谈和评估供应商之前应该提出哪些问题，以及应该避免哪些常见的陷阱？

Mike O. Villegas：***信息安全官(CISO)供应商每天轮流轰炸，这些供应商声称他们的产品可以解决所有问题。有些供应商很冷淡，即使他们的产品很好，CISO你可能再也不想见他们了。这里的挑战是买什么，从谁那里买。

当你知道你需要的产品时(SIEM、FIM、NGFW、WAF、防病毒，反恶意软件，DLP等等)之后，您可以通过选择供应商开始供应商管理流程。

确定供应商：企业在寻找潜在供应商时，可以考虑Gartner魔力象限或Forrester Wave作为可靠的信息来源。您感兴趣的领域有哪些供应商？查看右上象限内的供应商，并了解其详细信息。不要只挑***尽管有时开源可能是正确的选择。

短名单:选择少数成绩好的供应商。如果你和其他人在一起。CISO如果你有联系，你可以问他们的意见。

概念验证：在供应商管理流程中，在确定潜在供应商清单后，下一步是打 *** 给供应商，并建立概念证明(POC)。企业可以查看供应商的小册子，并进行粗略的背景调查。此外，安排供应商展示其产品的时间，并邀请主题专家( *** E)。POC它可能需要花一些钱，因为它需要内部资源来测试产品。请确保您起草了非公开协议，并根据功能、平台（设备或软件）、资源、所需技能和成本制定了选择标准。同时，使用相同的选择标准来评估所有产品，其处于相同的起跑线上。

POC实时数据或生产数据不应用于测试，但您仍然需要考虑对您环境的影响：

• 在POC对生产环境进行测试和估计；

• 日志记录活动及其存储空间；

• 日志记录活动是否协调或不一致，以及对生产延迟的影响；

• 如果目标设备中的数据包需要 *** ，则确定 *** 的足迹、延迟生产、性能或可访问性；

• 如需特殊培训、技能或技能 *** E您是否需要从外部聘请资源，或从供应商或其他专业服务机构获得资源？

联系参考客户：所有供应商必须提供参考客户。选择与您的环境和行业相似的参考客户。只有您和参考客户参加 *** 会议，供应商不参加。确保参考客户与供应商之间没有利益冲突。询问参考客户寻找供应商产品的驱动力，他们使用其产品的时间是什么？他们还评估了其他产品？POC?他们为什么选择供应商？他们满意吗？POC工程师？他知识渊博，必须回答问题吗？他们花了很长时间让产品在环境中运行吗？当他们使用产品时，产品在哪些方面没有达到预期？他们认为价格合理，值得购买吗？

成本：成本不应该是选择产品的主要因素。成本是相对的，但所有的价格都可以与供应商讨论。永远不要支付标签价格。查看数据包是否可以与同一供应商的其他产品捆绑。如果可能的话，等到月底、季度末或年底。我们都知道供应商有自己的销售目标。你可以用它来协商成本，但如果你不打算购买，不要浪费供应商的时间。如果供应商之间的成本差异不小，则确定功能是否超过成本。如果成本远远超过您的预算，则确定预期投资回报率是否超过成本。同时，与信息安全、 *** 、IT、开发团队、审计、风险管理和合规团队共享这些数据，看看他们是否可以使用该产品。如果该产品为软件，考虑下载软件以节省税费。

高管认可：没有人喜欢惊喜，包括管理层。在你与供应商谈判后，告诉高管产品的成本。跟踪你的预算，不要让供应商知道你的预算。让高管了解供应商管理过程，让法律团队认可产品，这可以帮助高管对购买感到满意。同时，让IT同意这个产品。你还应该在选择时向高管展示你的尽职调查，并在谈判结束后展示列表价格和产品的实际价格，这样高管就可以看到你的管理工作做得很好，你也会很乐观。***，假设这是你自己的公司，你正在做出购买决定。你会怎么做？

合同谈判：让法律部门的同事帮助您完成合同谈判。确保合同包括合同POC以及购买条款，审查许可协议、维护费用和续订费用。有时，花时间POC之后，您可能无法与供应商法律部门达成协议，这可能导致最终交易无法完成。在大多数情况下，双方应同意合同谈判。确保有终止条款—合同由或者无理由的，合同应当具有双方的责任限制条款和审查权利条款。如果涉及代码或软件，则应考虑管理条款或不披露条款。

简而言之，如果雪佛兰皮卡可以，不要买凯迪拉克。你应该选择正确的产品，而不是***产品***产品有时是最昂贵的，但不是基于你的商业模式、预算和需求。正确的产品是你的目标。您需要确保所选产品可以根据公司的发展进行扩展。此外，你可能还有其他考虑因素，但你应该购买你需要的产品，而不一定是你想要的。