真正的安全采购流程应该是怎样的?

  • 时间:
  • 浏览:1
  • 来源:大发5分排列3_大发5分排列3官方

• 可能性不到特殊培训、技能或SME资源,你与否 不到从外部聘请,可能性从供应商或有些专业服务机构获得。

Mike O. Villegas:首席信息安全官(CISO)每天都被供应商轮番轰炸,有有哪些供应商都声称我们我们我们我们我们我们我们我们 的产品都有助 防止所有大什么的问题。另外有些供应商则很冷淡,即使我们我们我们我们我们我们我们我们 的产品很优秀,CISO可能性全是会再想见我们我们我们我们我们我们我们我们 。这里的挑战在于买有哪些以及从谁那里购买。

短名单:选折 少数具有不错成绩的供应商。可能性你与有些CISO有联系,都有助 询问我们我们我们我们我们我们我们我们 的意见。

高管认可:没有人喜欢惊喜,包括管理层。在你与供应商的谈判如果 结束了了了后,再告诉高管产品的成本。追踪你的预算,何必 让供应商知道你的预算。让高管知道供应商管理流程谈判,并让法律团队认可该产品,这都有助 有助高管对这次购买感到满意。一起去,让IT认同该产品。你还应向高管展示你在选折 时进行了尽职调查,并在谈判如果 结束了了了后,展示列表价格和产品实际价格,让高管看一遍你的管理工作做得不错,一起去你买车人也会被看好。最后,让人换位思考,假设这那个她 买车人的公司,你在做出购买决定。让人为什么我么我做?

• 日志记录活动与否 协调可能性不一致,以及这对生产延迟性的影响;

联系参考客户:所有供应商不到提供参考客户。选折 与你环境和行业类事于的参考客户。向供应商要求只那个她 和参考客户参与电话会议,供应商不参与。确保参考客户与供应商没有利益冲突。询问参考客户寻找供应商产品的驱动力是有哪些,我们我们我们我们我们我们我们我们 使用其产品的时间?我们我们我们我们我们我们我们我们 还评估了有哪些有些产品?POC?为有哪些我们我们我们我们我们我们我们我们 选折 该供应商?我们我们我们我们我们我们我们我们 与否 满意POC工程师?他与否 知识渊博且有问必答?我们我们我们我们我们我们我们我们 与否 花了很长时间让该产品在其环境中运行?在我们我们我们我们我们我们我们我们 使用产品时,产品在哪方面没有达到我们我们我们我们我们我们我们我们 的预期?我们我们我们我们我们我们我们我们 是发表声明为价格合理因此值得购买?

成本:成本不应该是选折 产品的首要因素。成本是相对的,但所有价格都都有助 与供应商商量。永远何必 支付标签价格。看看数据包与否 可捆绑同一供应商的有些产品,可能性可能性语句,等到月末、季度末或年末再决定。我们我们我们我们我们我们我们我们 都知道供应商有其销售目标,让人用它来协商成本,但可能性你不打算买语句,何必 浪费供应商的时间。可能性各供应商之间的成本差别不小,选折 功能与否 超过了成本。可能性成本远远超出了你的预算,选折 预期投资回报率与否 超过成本。一起去,与信息安全、网络、IT、开发团队、审计、风险管理和合规团队共享有有哪些数据,看看我们我们我们我们我们我们我们我们 与否 都有助 使用该产品。可能性该产品为软件,考虑下载软件以节省税费。

来源:51CTO

• 可能性数据包在目标设备不到代理,选折 代理的足迹、对生产的延迟性、性能或可访问性大什么的问题;

我的企业正在考虑新的安全采购计划,但我们我们我们我们我们我们我们我们 的预算有限,因此我们我们我们我们我们我们我们我们 担心成为供应商炒作的“牺牲品”。对于安全产品采购和供应商选折 ,我们我们我们我们我们我们我们我们 与否 应该制定基本准则?在与预选的供应商交谈以及评估供应商如果 ,信息安全官应该提出有哪些大什么的问题,我们我们我们我们我们我们我们我们 应该防止有哪些常见的陷阱?

• 日志记录活动以及它不到几只存储空间;

选折 供应商:企业在寻找潜在的供应商时,可考虑Gartner魔力象限或Forrester Wave作为可靠的信息来源。在你感兴趣的领域有有哪些供应商?看看右上象限内的供应商,并了解其删剪信息。何必 只挑最便宜的产品,尽管有如果 开源可能性是正确的选折 。

概念验证:在供应商管理流程中,在选折 潜在供应商清单后,下一步是打电话给供应商,并建立概念证明(POC)。企业都有助 查看供应商的宣传册,并进行粗略的背景调查。另外,安排时间让供应商展示其产品,并邀请主题专家(SME)。POC可能性不到花有些钱,可能性它不到外部资源对产品进行测试。请确保你起草了非公开的协议,并根据功能、平台(设备或软件)、资源和不到的技能以及成本制定了选折 标准。一起去,使用相同的选折 标准来评估所有产品,让它们处于同一起去跑线。

作者:Mike O. Villegas 翻译:邹铮

• 在POC测试环境中每秒预期事件,并估计在生产环境的情况汇报;

POC不应该使用实时数据或生产数据来测试,但你还是要考虑对你环境的影响:

总之,可能性雪佛兰皮卡车就行,那就何必 买凯迪拉克。你应该选折 正确的产品,而全是最好的产品。可能性最好的产品有如果 最昂贵,但并全是基于你的商业模式、预算和需求,正确的产品才那个她 的目标。你不到确保所选折 的产品都有助 根据公司发展进行扩展。另外,基于你的行业、企业文化以及人员技能,你可能性还有有些考虑因素,但你应该购买你所不到的产品,不一定那个她 想要的产品。

在你知道你不到的产品(SIEM、FIM、NGFW、WAF、防病毒、反恶意软件、DLP等等)后,让人通过选折 供应商来如果 刚结束了了了供应商管理流程。

合同谈判:让法律部门的同事帮助你完成合同谈判。确保合同含高针对POC和购买的条款,审查许可协议、维护成本和续订成本。有如果 ,在花时间进行POC后,你与供应商的法律部门可能性不让达成一致意见,这可能性原因最终交易无法完成。在大多数情况汇报下,合同谈判应该是双方都同意的。确保有终止条款—有原因或没原因,合同中应具有双方责任限制条款以及审核权利条款。可能性涉及代码或软件,考虑代管条款或不披露条款。