CSO和安全供应商合同签多久才合适？

选择默契的供应商并与之协商最适合的合同条款，同时要确定下最好的合同期限，这对于企业的所有高层来说都是艰巨的任务。国外某些经验丰富的安全主管则表示，在处理这些要事时，CISO们通常比其他高层更具挑战性，尤其是在确定合同期限方面。

原因在于，CISO通常需要应对突然出现又充满变化的风险威胁，而应对这些威胁的方案、工具和政策也是如此。因此，CISO得在“能适应变化环境”的供应商里做出选择，而往往从市场现状来看，很难找到各方面都一马当先的供应商，很有可能当下还不错的供应商随着时间变化便跟不上了安全风险的趋势。此外，CISO 必须考虑实施、配置和管理他们所购买的产品，因为大多数安全产品的部署可能需要数月的运营时间才能看到其真正的价值，更不用说最大化它的价值了。

国外CISO、执行顾问和企业高层们表示，最好的策略是在谈判每份合同时将以上这些因素都考虑进去。同时，他们还建议CISO得和采购人员、财务团队合作，在签署任何合同之前都去了解企业所能适应的合约期限。

咨询公司 Kroll 的风险管理实践高级常务董事 Alan Brill 表示：“同样的合约期限并不适合所有人，得视情况而定，因为公司之间的承受能力各不相同。或许每家公司都必须经历一个漫长而又复杂的采购流程，但提前准备好一份‘企业能承受的合约期限的清单’还是有必要的。”

Parkview Health 信息安全副总裁 Darrell Keeling 表示，在和安全供应商合作时，务必得将这些重要因素考虑进去。“在安全这个领域，在我所认知的企业里，很多事情都是由时机或对趋势的理解决定的，这就意味着需要对未来有判断，对当下有概念。”

Keeling 会考虑哪些安全供应商的发展能跟上市场创新的步伐。他审查了市场上这些安全供应商的发展潜力，以确保他们能够在整个合同期内提供他想要的支持、服务和更新。他还表示，在这个过程中他更容易找到最适合的合同期限。

同时，他也试图预测所购买的解决方案是否很快会转变为其他安全供应商所提供的服务，如果是，他便会将合同期限降至三年以下。他还会预测与之合作的供应商是否会在短时间内与另一家供应商合并，这将会使他再一次倾向于缩短合同期限。

于是，经历了诸多的合作，Keeling会将定价因素纳入相关的决定，比如一份保证不涨价或涨价有限的三年合同，这对Keeling来说会是不错的选择。

总而言之，Keeling说他的努力方向是平衡灵活性、稳定性和实际价格，这种平衡有时会有利于短期合同，有时则有利于长期合同。

咨询公司 Guidehouse 的高级解决方案网络安全实践合伙人 Michael Ebert 表示，这种决定是明智的。“根据企业的需求、要求、现有技能和舒适度来评估所有合同。我们可以常常自问：‘这合同适用于企业的环境吗？企业又是否因此获得了合适的价格？’”

尽管专家表示，CISO必须为他们签署的每份合同确定最适合的合同期限，但业内一致认为，五年或更长的时间还是太久了，这应该避免。可以说五年的协议很少见，而更长的协议几乎不存在。

Forrester Research 副总裁兼首席分析师 Jeff Pollard 表示，这不是毫无根据的。技术、安全趋势和业务变化实在太快了，以至于任何五年期的合同都不可能满足于这些发展，企业可以鼓励安全团队保留这些技术，即使它不再为企业提供良好的服务，但无论如何，这些过气的技术都该以更优惠的价格去购买。

此外，也有安全负责人表示，其他几个典型的合同选项（比如一年、两年、三年或四年选项）也各有利弊。他们指出，每种合同期限都具有优点和缺点，这取决于许多因素，比如产品的成熟度，再到组织的成熟度，再到所提供的价格等。

Pollard说：“在部署新技术或新方案时，一年期合同往往更好，而在应对新挑战时，较短的期限也可能是最有益的。如果发生了安全事件，作为CISO你需要解决这风险，也许你并不知道这风险有多大影响，或者哪怕这是一个需要立刻解决的问题，这些供应商的短期合同总会让你得到一部分处置方案，即使你不知道这风险会不会是长期的，但你至少可以暂时应急。”这样，安全团队就有时间评估问题或适用新部署的技术，也可以让员工去收集“下一步该怎么行动”的信息。

Pollard补充道：“然而，短期合约也有弊端，你可能在短期内不得不重新部署这些安全产品。几个月里，采购、签署、部署的流程可能需要反复更新。”

那么将合同期限向后推一下会怎样？比如两年期限。两年合同能使解决方案得到更全面的定义，也能更好的使这些服务价值被量化。Pollard 说：“在这个期限之下，安全事件也好、解决方案也罢都会相应的存在较长的时间，并且企业可以更好地理解它们，同时也不必太过频繁的重新评估市场。但两年的合同期限仍然存在缺点，如果该技术由于什么原因不能满足企业需求，企业就必须忍受比一年更长的时间。”

谈到典型的三年合同期限，Pollard说最大的优势集中在了成本上，因为安全供应商通常会为这些协议提供最优惠的价格。另一方面，无论供应商所提供的服务能否随着企业的需求和整个安全市场的趋势渐渐成熟，这些为期三年的合同都可以使得安全部门在技术上投入大量的精力。也就是说，这些合同在相应的时间段内等于变相地承担了部分安全部门的资金，专家表示，随着经济不断衰退，成本、性价比将是企业首要考虑的内容。

国外安全专家们还提出了额外的考虑因素，比如 TCE Strategy 的首席执行官 Bryce Austin 考虑到了产品的粘性问题。“如果企业需要的是粘性产品或难以更换的产品或这些产品需要大量的配置，那么我建议关于此类产品还是签署多年合同较好。因为在这种情况下，CISO设定合同期限时需要考虑配置、部署的成本问题，不拘是资金成本还有时间成本，产品运作的规模意味着企业可能需要更多的时间才能产生相应的收益和回报。”

然而，Austin也表示，出于种种原因，他还是更倾向于短期合同。他说，如果供应商被另一家公司收购，或者供应商将其自身资源用去推进其他产品，那么较短的合同期限有助于CISO防止供应商所提供的服务质量下降。

Austin说，他通常只在财务状况不太理想时才考虑签订一份为期三年的合同，主要是为了保证对方不会涨价。尽管如此，他认为供应商必须证明他们能够满足 CISO 所设定的性能和服务要求。

Encore Capital Group 的副总裁兼首席信息安全官 Scott King 表示，他喜欢选择一年或两年的短期合同，他认为这样的合同会为公司提供适当的平衡。

但他并非不做权衡，他仍在审查自己的选择：“企业必须了解哪些技术类型是长期需要的，而哪些是短期内就需要的，同时也要考虑安全产品、技术平台是否会很快的被更先进的技术所取代。其他还有一些因素，比如部署的耗时、供应商是否失去了他的优势等，都需要考虑。企业希望从这些合同中获得最大价值，因此就需要进行彻底的调查。没有企业愿意背负一份不起作用的长期合同，因为这会导致资产搁浅。”

对于和安全供应商签多久的合同比较合适，其中又包含了那些重要的考量内容，国内安全专家如此建议。

CVTE安全部经理于利新表示，由于安全供应商目前提供的服务类型不同，所以合作周期便也不同。他指出一般服务商会提供三种类型的服务：安全产品采购类。如采购漏扫、WAF、IPS等；安全服务保障类。购买安全服务，如渗透测试、安全咨询等；安全项目合作类。如攻防演练防守、众测、科研项目、人力资源外包等。

其中，第一类和第三类比较好确认周期。产品采购基本一次购买，后期维保或预留二次开发接口。安全项目围绕项目周期走，如众测周期是3个月，合作期限就3个月，比较好确认和闭环。

第二类则需要考量。因为安全是动态过程，随时都需要保障或技术支持。但是购买太长时间可能投资收益比不达预期，所以一般会从以下几个维度进行考量：

1.公司对安全部的发展规划。如果内部已经规划一年内创建自己的安全团队，有能力对公司内部的系统提供全面安全服务。那么跟安全厂商的合作时间就可以缩短，甚至以项目合作形式比较好。

2.合作公司的积极性管理。如果企业长期和一家服务商合作，有可能他们会产生惰性，做事不积极等都有可能。

3.投入产出比。企业花费的费用要尽可能量化，看外部服务的收益是如何。比如每年安全服务100w，但聘请两个安全工程师也可以做完这些服务，甚至做得更好；或者100w的服务费，可帮企业解决了10次安全事件，相当于规避了200w的风险损失等。

4.外部合作关系的角度。安全厂商有很多，每个都有自己擅长的领域，尽可能多的跟厂商建立合作关系是好的，所谓多个朋友多条路。

综上所述，于利新认为，一般安全服务合作最长就一年，一年后会按照上述维度重新评估，更换服务商或取消外购服务。

某集团安全负责人曾永红对此表示认可，他说目前大部分合同都是是每年一签，而若有多年合作关系的，例如安全运营服务外包，则可以考虑三年一签。同时，他认为所需考量的内容有四方面：企业内部的供应商资源；合作伙伴的成熟度；供应商的服务质量；历史履约情况。

而某大型IT服务外包集团安全负责人朱诚则更偏向于签三年的合同。他将考量的内容大致分为四点：优惠的价格和所需的服务水平；实施、配置和管理所购买产品的复杂性；供应商的创新速度；供应商的技术发展和战略方向。

最后，某互联网公司安全总监程明对此做了总结：“作为CISO，需要的并不只是安全供应商，而是需要值得信任的安全合作伙伴，需要共同经历风雨，需要同舟共济、砥砺前行。安全供应商需要花时间来了解和熟悉客户，为能够持续满足客户的需求来提供相应的安全解决方案，同时需要良好的沟通，不断磨合，尽量满足从需求到可交付的成果，并与安全供应商建立起良好的合作关系，以便达到长久合作的目的。”

所以程明认为和安全供应商签一年以上的长期合同比较合适。因为一年内的考量期足以清晰、公开和透明的体现出合作关系的情况，如果不合适可以止损，主要看安全供应商的态度是否怠慢，因为怠慢会带来不良后果，无法形成合作的良性循环，而如果合适就可以延续前期积累的成果。

至于考量内容，程明认为主要有诚信度、行业排名高低、技术优势强弱、产品口碑和服务质量等方面。

“在合作过程中所体现的综合能力，实现多赢，保持双方的利益一致性，使我方能够进行合理的资源规划和资源投入，从而实现我方的总体安全目标是考量重点。比如，安全供应商在提供网络安全服务过程中，可以考量其技术能力和服务质量，技术能力指标包括：威胁处置能力、源码审核能力、应急响应能力、APP加固能力、安全培训能力等；服务质量指标包括：漏洞整改质量、安全测试质量、风险评估质量、应急响应质量、人员管理质量。”