企业CSO选型“新五条”

　　那么是不是国内厂商就一定值得我们信赖呢?当然不是，我们强调的是“自主可控”，除了“自主”还得“可控”。什么叫可控呢?就是说这个产品及其供应商还得满足一系列的评判标准。这里我们列出几条标准供各位CSO来参考。

　　一) 时间

　　所谓路遥知马力，日久见人心。我们人生中的一些重要角色都只能通过时间来判断其真伪优劣，比如朋友，比如合作伙伴，比如爱人等等。其实对供应商的评价，时间也是最为重要的也是最为准确的一个维度。一个历史悠久广为人知的企业，其信誉、其能力，与其合作的成功几率都远远高于一般企业。所以首先要选择那些有一定创建时间，在市场上被广泛认知，并有较高美誉度的企业。

　　二) 资质

　　资质不是功能较多的，但没有资质也是万万不行的。“资质”这个事其实也不是什么太有中国特色的东西，全世界对于企业级产品，尤其是安全产品都会有各种各样的资质。就中国而言，资质大概可以分为企业资质和产品资质两类。企业资质包括一些诸如“高新技术企业”，“ISO90001”一类的资质。产品资质要更多一些，有一些是优异别的，比如3C认证，EAL3认证。有一些是行业内的，比如“军B”资质，以及一些行业的“入围”评测。

　　安全产品对于资质的要求尤其高。一个信息系统部署安全产品，核心的驱动有二：一个是为了解决自身的信息安全问题，封堵网络风险，提高网络可靠性，另一个是为了符合国家和行业的法律法规要求。从第一个需求看，资质实际上帮我们做了很好的把关工作。我们都知道对于一个安全产品的评估往往需要很高的技术水平和较长的时间，而在绝大多数安全项目中，这都是难以实现的。因此，产品是否具备某些资质，就成为一个CSO评估产品能力的一个重要依据。而从第二个需求看，资质的重要性就更加凸显了。机构组织部署的安全产品是否满足国家和行业的相关要求只能通过是否拥有相对应的资质来评价。否则，即使部署了安全产品，“有关部门”也未必认账。合不合理，见仁见智，但是规则就是如此，对于这一点，CSO们都懂的。

　　三) 案例

　　案例是评价一个供应商及其方案最有效的手段之一，该供应商是否服务过和本机构类似的客户，该方案是否在类似的场景中有过成功部署，成为绝大多数CSO进行产品选择的首要评判标准。事实上，很多CSO不仅仅要求供应商提供本行业内成功案例，还会主动打电话进行核实(行业内的CSO们往往联系紧密)，更有甚者，还会要求参观成功案例。

　　所以，很多领先企业都会主动打造一些标杆案例，以帮助打开一个行业的市场空间。当然，这其实是个先有蛋还是先有鸡的问题，不会有哪个企业天生就拥有标杆案例，第一个标杆案例的打造一定是在没有参考案例的情况下完成的。这个时候，CSO确实要背负更多的风险，但如果该供应商在我们前面谈到的两条标准中有较好表现(历史悠久，品牌卓越，资质齐全),那么CSO也可以考虑和该企业合作，并且可以要求更低的价格和更好的服务以平抑所承受的风险(如果您的机构在业内有足够代表性，很多企业在这个时候都是愿意以极低价格甚至免费的形式为您服务的：))。

　　四) 产品

　　产品要满足CSO需求，能够真正解决客户问题，这是一个基本原则，但这不是本文要讨论的。本文要讨论的是一些相对更实用，更接地气，并且在CSO中被广为实用的一些方法。

　　首先是产品是否为该厂商原厂产品，这很重要。众所周知在国内存在OEM这么一种产业生态，也就是说，厂商销售的产品可能不是自己研发设计的，而只是贴了自己的牌子的，事实上由其他厂商生产设计的产品。对于这样的产品，在需求定制、上线实施、乃至后期维护过程中往往存在这样那样的问题。

　　其次是产品是否为该厂商的当家产品。很多国内安全厂商都会有很长的产品线，但是一部分是OEM来的，一部分虽然是自己做的，但是也做得并不好。往往一个安全厂商只能做好很有限的几款产品。至于哪个厂商的哪款产品属于当家花旦，那就需要CSO们进行详尽的调查了，好在这往往并不困难，群众的眼睛是雪亮的，谁家的什么东西是好东西，还是有公论的。

　　五)合作伙伴

　　还有一点很重要，那就是该厂商的渠道合作伙伴。安全厂商的能力在于研发和设计产品，而在全国范围内进行产品交付和服务，往往不是厂商所能具备的能力。目前比较成熟的产业形态是，厂商会选择在一个行业或者区域内领先的服务供应商作为合作伙伴，共同为客户提供服务。相对于厂商而言， SI往往会更加关注客户利益，更加理解客户需求。他们在项目中往往需要承担各种风险和资金压力，他们对供应商的了解会更客观更准确。所以，是否能够和当地或本行业内领先的SI取得合作，也是CSO判断一个厂商及其产品非常重要的标准。