雖然我們很難準(zhǔn)確地指出信息安全市場的確切規(guī)模，但可以肯定的是，即其規(guī)模日漸增長。無論是對人力、過程，還是技術(shù)方面的投資，在未來的幾年都將繼續(xù)增長。但是，對于所有這些投資，如果你問一些安全購買者在找什么樣的方案或產(chǎn)品，其中的多數(shù)可能會說還沒有找到正在找的東西。

信息安全市場由大量的廠商以及子市場組成。讓我們做一個大膽的假設(shè)：信息安全的購買者成功地記住了名片資料、電子郵件、職業(yè)社交網(wǎng)站的邀請。那么，問題就變成：企業(yè)要傳達什么樣的賣點，如何引起購買者的共鳴?

某廠商所強調(diào)的產(chǎn)品或服務(wù)也許在激烈的市場競爭中只是比競爭者稍微好一點。或者，可能廠商宣傳中所描述的產(chǎn)品或服務(wù)并不適合購買者的策略計劃或預(yù)算?或者，廠商詳細描述的產(chǎn)品或服務(wù)，但購買者已經(jīng)投資購買了呢?

這種問題還可以舉出很多，真正的問題是：安全購買者在找什么呢?進一步講，賣方如何理解購買者正在尋找的東西，從而決定自己提供的產(chǎn)品或服務(wù)是否適合，以及如何用適當(dāng)?shù)姆绞絹韨鬟_服務(wù)或產(chǎn)品的價值?因此，測試、評估、審核在買賣雙方的會話中可以起巨大作用。

擁有大型安全團隊的大型企業(yè)經(jīng)常對自身進行評級和測試，執(zhí)行評估和自我審計，用以確認需要解決的挑戰(zhàn)和問題。因而，這些大型企業(yè)一般都確切的知道哪些問題需要解決。因而，賣方就可以直接問買方他們在找些什么。購買者往往會非常高興地分享自己優(yōu)先考慮的問題以及近期和將來的計劃。如果賣方認真傾聽，就會找到所需要的信息。

但是，中小型企業(yè)怎么辦?當(dāng)然，中小型企業(yè)也有需要解決的問題和挑戰(zhàn)。不幸的是，在多數(shù)情況下，這些企業(yè)并沒有評測自身的資源、財力和人力，很難客觀地評估其安全項目的狀態(tài)，也不能有效和客觀地審核安全項目的功能。

這是不是意味著中小型企業(yè)必然無法洞察應(yīng)當(dāng)投資的資源和時間呢?或者除了大型企業(yè)外，買方和賣方就應(yīng)當(dāng)總是處于不同的高度呢?當(dāng)然不是，但是如何克服這種困難?

而這種情況正是自動評測和評估發(fā)揮功能的時機。中小型企業(yè)需要和大型企業(yè)一樣多的評測、評估和審計能力。問題是當(dāng)前的技術(shù)涉及到大量的人工過程。這個過程對大型企業(yè)來說還是不錯的，但對于中小型企業(yè)來說，存在兩個限制其使用這些服務(wù)的因素：

成本：無疑，這種需要人工的勞動密集型過程要求高度熟練的高級人才。這就使得人工的評測、評估、審計成本高昂，而這必然不是中小型企業(yè)的財力所能承擔(dān)的。

帶寬：除了依賴熟練的技術(shù)人才，這種服務(wù)還自然存在一個帶寬的限制問題。即使價格不是很高，中小型企業(yè)也沒有足夠的帶寬來執(zhí)行評測、評估、審計服務(wù)。

這些問題的解決都需要評測、評估、審計過程的自動化，只有這樣，中小型企業(yè)才能從中受益。

現(xiàn)在又回到了最初的問題上：安全購買者在找什么?在廠商們問這個問題之前，首先需要給予購買者回答這個問題的能力。而使其能夠自動評測、評估和審計是完成這個任務(wù)的一個好方法。