首先，CISO们总是需要安全厂商为他们提供必要的工具去守护企业安全，通常来说，不会有太多的企业能够自研一套企业安全运营方案或自己开发出什么安全产品、解决方案等，这也就演变成了CISO需要去对大量的供应商们进行选择，考虑到CISO们有限的时间和预算，以及他们越来越重要的工作内容，各种压力之下，CISO们开始变得越来越小心谨慎，这不仅仅需要CISO减少所使用的安全厂商的数量，还需要CISO能在有限的时间里找到适合自己企业文化的产品。

因此，国外知名专家Gartner将“安全厂商整合”列入了2021年的企业安全趋势中，并且表示“大部分企业会将厂商整合作为降低成本和增强安全的方法”。CISO们最终希望的，还是确保他们选择的厂商能够提供有质量的解决方案，以及能够让他们的安全团队进一步提升的附加价值。

作为企业的安全部门，CISO一定会想从安全供应商那里得到相应产品的安全功能，这是毋庸置疑的，因此CISO需要在和安全供应商沟通时将其目标明确说出，无论是参与范围、与KPI相关、性价比、可衡量可交付的项目成果，还是能总结出的数据报告、合规报告等都需要说清，因为安全服务、安全产品、解决方案的参与范围和其能提供的功能对于企业的发展和运营都有着举足轻重的影响，诸多前车之鉴告诉我们，若只考虑单一的漏洞问题，就很可能就会在合规上为企业带来不可承受的损失。

CISO可以在从供应商所提供的产品中找出“他们能解决什么”或同时找出“他们不能解决什么”，从产品、方案的流程中分辨，自己团队里的人员又需要执行哪些工作来启动和运行这些内容，甚至包括持续的运营中供应商的参与度，以及他们的这份技术又将往哪个趋势去发展等。就像国外某企业的CISO斯玛特就对他的供应商很信任：“那些能展示出如何在字段级加密或保护边界方面与 MongoDB 建立联系的供应商对我来说太重要了，因为这很大程度上表明了他们确实在花时间了解我们需要的功能，这对建立信任起到了很大的帮助。”

故此，对CISO来说，需要的并不只是一个供应商，更多的是需要一个合作伙伴！以往供应商所提供的服务，无非就是在你的企业里安装完产品、解决方案或杀毒软件后就离开了。但现在的安全变得相当复杂，各种形势交汇，同时拓展至了多个领域，在各种架构上又有重叠，变化还如此之快，因此仅仅是提供产品的供应商已不能满足企业的日常需求，对企业的安全来说，更需要的是一个值得信任的顾问。

众所周知，任何一种合作关系都需要双向奔赴，因此除了寻常的商业贸易关系外，安全厂商也需要知道客户能为他们提供什么，特别是拥有同一属性的CISO们的建议。网络安全公司 Trellix 的 EMEA 副总裁 Fabien Rech说：“为了建立牢固的关系，为了尽可能的提供最佳服务和体验，我们需要客户对我们开诚布公，这种诚实应该同时概括到‘还有哪些其他的供应商在企业的安全体系、安全组合中’，因为当下的企业越来越依赖灵活的、云原生的、开放的解决方案，这需要我们彼此都意识到还有谁存在于体系里。”

Rech 补充道，现实中没有任何一家供应商可以保证抵御所有的威胁，但供应商具有独特的优势，可以在明确企业的需求后再采取行动。例如，对于某些 CISO 来说，不断共享有关威胁、攻击技术或特定行业威胁趋势的信息可能会让人不知所措，但当我们更多地了解他们的业务和他们的优先事项时，我们可以将最相关或他们最需要知道的信息提供给他们。

某网络安全咨询公司的执行顾问 John Hellickson 认为，在销售过程中，供应商同时也可以从合理、尊重的反馈中受益。“我看到很多安全负责人抱怨他们是怎么被糟糕的销售策略给打扰的，那些厂家试图引起他们的注意但效果却并不怎么理想。我觉得CISO们可以适当的给予一些可指导的建议，因为尊重对方可能比忽略他们的电子邮件更能减少负面影响，同时对对方的销售能力、业务能力保持基本的真实和诚实，这会给整个行业带来较好的贸易秩序和沟通环境。”

罗彻斯特理工大学Golisano学院的计算与信息科学技术运营主任Thomas Cary有一个关于他对厂商期望的列表。他需要厂商能够知晓并理解他所在的企业以及其现有的安全工具，从而厂商能够分清企业的强项和弱项，然后通过这些再提出能够缩小安全缺口的方案，加强组织的安全态势，并帮助Cary的团队实现他们的目标。

“安全厂商需要花时间来认识自己的客户，然后做好自己的功课，为满足企业的需求来建立解决方案。”Cary说道，“这样才能真正从其他厂商中脱颖而出。”Cary表示，厂商们不仅要展现自己的能力，同时也要坦诚自己的局限性。

他提到一个为他企业提供多种能力的邮件过滤平台供应商，该厂商计划嵌入一套基于他现有工作流的请求过滤能力体系，同时额外的功能也会在这些工作流当中自动化掉一部分内容。厂商承认Cary的团队已经有一些来自于其他厂商的能力，因此没必要由他们再去做相同的功能。“这样的厂商是真正将我们的利益放在了心里，没有进行过度的营销。所以，我们知道可以信任他们的话，而最终他们真的帮助我们提升了整体事件的响应能力。”Cary对该厂商表示了肯定。

其他CISO们也表达了类似的期望。市场公司Merritt Group在2020年发布了《市场以及CISO销售》报告，里面的内容与Cary和其他CISO们表示想从厂商那里获得的东西基本一致。根据该报告：“最重要的是，向CISO营销要求定制化和基于问题的策略。在网络安全里没有‘以一配全’的万能解决方案，而CISO们对任何这类保证都会起疑。CISO们真的需要能解决他们独特痛点的解决方案，而近半数的CISO们需要厂商在进行销售或者市场沟通前做好自己的功课。”

在了解双方的需求后，沟通便成为了CISO 与供应商合作关系中最重要的元素。这是公开分享期望的过程，即成为值得信赖的合作伙伴需要表达什么、诉说什么、倾听什么，以及在双方互相了解的同时可能存在怎样的界限和磨合等。从需求到可交付的成果，都需要双方尽可能的清晰、公开和透明，这对于建立长期的合作关系至关重要。

然而，尽管沟通无比重要，但 Hellickson认为沟通依然是CISO和供应商在建立关系时面临的最大挑战，沟通不畅和未能明确彼此的目标、未能将产品的性能尽述是常见的问题之一。Netskope 的副首席信息安全官 James Robinson 表示，当涉及到关键供应商时，这一点就显得尤为重要，他建议CISO应该仔细考虑与供应商沟通的频率。“只在销售点或续约时见面肯定是不对的，即使是双方的关系发生了变化，这也需要充分的沟通。然而，会议的时间和频率往往会与其他的要事有所冲突，这就需要双方把握好这其中的平衡。”Robinson建议在 CISO 与所有关键供应商和客户会面时，为其他利益相关者同步业务项目或为团队会议留出足够的时间。

CISO该怎么和网络安全供应商建立良好的合作关系？要点、秘诀在哪儿？对于CISO来说，希望从安全供应商那里得到什么？对于安全供应商来说，又希望CISO能帮到他们什么？沟通、合作的过程中彼此需要避免的又是什么？国内安全专家如此建议。

某集团安全负责人曾永红认为，基于公司的供应商管理制度、原则和要求下进行正常的工作交往，是良好合作关系的基础；其次，定期的沟通，从技术趋势、产品和服务、投诉和建议，到日常运营的最佳实践，建立坦诚的高层沟通渠道也是必不可少的。而真正影响合作关系的秘诀在于多赢，即利益一致性，建立在共同的目标上，合理的进行资源规划和实际投入，简而言之就是专业的人做专业的事。

曾永红提出，能弥补己方短板，从一家公司的最佳实践传播到另一家是CISO和安全供应商之间的共同需求。而不保守公司商业秘密，将客户的机密信息“家丑”外扬等则是双方行为准则上的大忌。

而公安部网络安全等级保护专家毕马宁认为，首先CISO、 CSO出于对自身工作和职责的需要，希望能与网络安全供应商（产品或服务提供商）建立良好的长期合作关系，这种合作从CISO、CSO的角度出发希望能把安全供应商当成自己的外脑或智库的组成部分，这样具有广泛性，而且越多越好；而供应商则希望这种合作是挖掘用户需求，赢得用户信赖，达成销售业绩的渠道，是排他的一种方式。

因此，双方的共同点是彼此要有获得（各得其所是共同目标），而要点则是在共同目标的前提下，结合实际需求进行有规则的交换，特别是供应商的眼界应该要放得开一点，不要只盯着销售合同，更不能仅为了自家产品而夸大功能做硬推销。

至于CISO和厂商之间能有怎样的互助，毕马宁表示对于CISO而言当然希望从供应商那里了解行业的发展趋势、新的技术方向以及最佳的产品或服务实践；而供应商则希望通过CISO了解应用流程、业务场景，包括系统现状和网络架构等。除此之外CISO 还关心供应商的产品与自身现状的适配性以及改良后的能力提升程度等。

最后毕马宁在需要避免的事上建议四点：

1、对厂商来说，不要不问需求和场景，上来就硬推销，明明产品不适合，还信誓旦旦硬来。

2、不要刻意贬低友商，抬高自己。

3、切勿破坏商业规则，拿其他商家的“隐私、糗事”做营销。

4、一定要保护好彼此的商业秘密，包括业务模式和流程等。

综上所述，信任、一致、沟通、相知是CISO与供应商之间保持良好关系的要点。对CISO和供应商来说，能共同找到一种以价值为中心的方法可帮助公司更快地做出数据驱动的补救决策是首要目标，这就需要二者及时将自身所知道的信息进行有效的沟通。

MongoDB CISO Lena Smart补充道：“信任和必要性是关键。我可以相信这些人，但如果我不需要他们卖的东西，那就没有意义了。同时在我看来，除了这些必要的合作基础外，个人因素也非常重要。”

而网络安全公司 Trellix 的 EMEA 副总裁 Fabien Rech 认为，从供应商的角度来看，信任是至关重要的。企业客户不仅需要信任供应商有兑现承诺的能力，还需要信任他们可以作为团队的延伸，尤其是在发生攻击时。因为当漏洞、风险危害到企业的安全时，安全供应商将是企业首要的求助伙伴！