现在市场上有非常多的网络安全供应商。与所有安全控制和工具一样，CISO应该评估他们是否需要这些现有供应商，以及将来可能选择的供应商。

在某些情况下，这些评估会导致供应商整合，即战略性地减少用于运营和战略利益、财务优势和安全改进的供应商数量的过程。

下面让我们来看看安全供应商整合的好处和挑战，并探索CISO如何评估他们的供应商组合。

请记住，对于网络安全产品和服务，“正确”数量和类型供应商很主观。对一家公司有效的东西可能对另一家公司没有效。CISO在选择对其企业有效的供应商组合时，应权衡以下因素。

安全供应商整合的好处和挑战

根据《2025年Fortra网络安全状况调查结果》显示，40%的企业已经开始整合其网络安全工具和供应商，另外21%的企业正在计划这样做。

安全供应商整合的好处包括以下内容：

• 运营效益。例如，降低管理复杂性，利用更少的工具，更轻松的学习曲线，提高效率并简化供应商支持。
• 战略利益。例如，加强供应商关系，减少谈判合同、服务和整体成本的时间，以及简化的合规性。
• 财务优势。例如，最大限度地降低许可费和维护成本。消除工具蔓延和闲置（付费未使用的工具），也可以在已经紧张的网络安全预算中节省资金。
• 安全改进。包括提高可见性、简化威胁管理和改善对整个攻击表面的控制。

然而，安全供应商整合并非没有挑战。障碍包括供应商锁定的风险、引入单一故障点、造成安全覆盖范围差距、管理复杂性和员工培训挑战。

如何开始整合安全供应商

减少工具和供应商的蔓延是一项艰巨的任务。为了为整合奠定基础，CISO及其团队应考虑以下几点：

• 评估公司对网络安全工具、功能和服务的需求，并使供应商和服务提供商与这些需求保持一致。
• 比较和整合现有和新供应商，特别是随着市场整合和供应商功能的扩展带来新的特性和功能。
• 为现有合同中的收购、业务失败和其他供应商变更做好准备，以尽量减少潜在风险。
• 预测合同期间可能出现的常见供应商挑战和不可避免的问题。

要开始整合安全供应商，CISO及其团队应做到以下几点：

• 制定一份全面的供应商清单，列出企业中使用的所有网络安全供应商。
• 构建功能矩阵。列出所需的特性和功能，以及任何不可改变的部分。
• 识别供应商和产品的重叠。记录产品和服务的重大重叠。
• 列出新的需求。识别任何缺失的工具、服务和功能。
• 评估供应商关系。考虑哪些供应商比其他供应商更容易合作。对于任何有问题的关系，询问这种伙伴关系是否值得继续。

在讨论这些标准后，CISO及其团队应该研究和记录每个供应商的成本、声誉、支持、功能和能力以及合同。

成本

供应商工具和服务应尽可能具有成本效益。在续订产品或引入现有合同的新选项时，请为价格上涨、许可变更、与其他领先服务不符的成本、隐藏成本和意外服务费做好准备。

供应商声誉

供应商的声誉可能会因多种原因而改变，包括糟糕的在线评论或社交媒体反馈、文化问题、漏洞和安全事件、收购和合并、重大或持续的漏洞公告或财务困境。

供应商支持

在评估供应商时，CISO需要在协商早期确定他们的支持期望。衡量与现有供应商的服务级别协议和期望，看看这是否是问题领域，并记录积极和消极的支持经验。同时也要注意支持政策或履约的突然变化。对于网络安全平台和产品，及时和有力的支持至关重要。

特性和功能

虽然评估控制和比较功能很重要，但关注供应商承诺方面也是必不可少的。让较小的供应商和初创企业签订合同路线承诺，如果合同是根据功能承诺进行协商的，则在合同中确定日期和预期。

合同

在现在的供应商评估中，重点领域包括协商合同和与采购团队合作。其中一个考虑因素是合同期限。较短的合同风险較小，但通常成本更高。与此同时，CISO通常可以就年费协商价格较低的合同，但这可能会将他们锁定在长期内，并可能产生不令人满意的关系。

对于规模较小、鲜为人知的供应商，最好选择较短的合同。较长的合同可能会通过协商终止条款来补充，这些条款概述了关系中的绩效问题或其他负面因素，但这在很大程度上取决于供应商的行为。为此，在与新供应商签约之前，请尽可能仔细考虑绩效预期。