虽然我们很难准确地指出信息安全市场的确切规模，但可以肯定的是，即其规模日渐增长。无论是对人力、过程，还是技术方面的投资，在未来的几年都将继续增长。但是，对于所有这些投资，如果你问一些安全购买者在找什么样的方案或产品，其中的多数可能会说还没有找到正在找的东西。

信息安全市场由大量的厂商以及子市场组成。让我们做一个大胆的假设：信息安全的购买者成功地记住了名片资料、电子邮件、职业社交网站的邀请。那么，问题就变成：企业要传达什么样的卖点，如何引起购买者的共鸣？

某厂商所强调的产品或服务也许在激烈的市场竞争中只是比竞争者稍微好一点。或者，可能厂商宣传中所描述的产品或服务并不适合购买者的策略计划或预算？或者，厂商详细描述的产品或服务，但购买者已经投资购买了呢？

这种问题还可以举出很多，真正的问题是：安全购买者在找什么呢？进一步讲，卖方如何理解购买者正在寻找的东西，从而决定自己提供的产品或服务是否适合，以及如何用适当的方式来传达服务或产品的价值？因此，测试、评估、审核在买卖双方的会话中可以起巨大作用。

拥有大型安全团队的大型企业经常对自身进行评级和测试，执行评估和自我审计，用以确认需要解决的挑战和问题。因而，这些大型企业一般都确切的知道哪些问题需要解决。因而，卖方就可以直接问买方他们在找些什么。购买者往往会非常高兴地分享自己优先考虑的问题以及近期和将来的计划。如果卖方认真倾听，就会找到所需要的信息。

但是，中小型企业怎么办？当然，中小型企业也有需要解决的问题和挑战。不幸的是，在多数情况下，这些企业并没有评测自身的资源、财力和人力，很难客观地评估其安全项目的状态，也不能有效和客观地审核安全项目的功能。

这是不是意味着中小型企业必然无法洞察应当投资的资源和时间呢？或者除了大型企业外，买方和卖方就应当总是处于不同的高度呢？当然不是，但是如何克服这种困难？

而这种情况正是自动评测和评估发挥功能的时机。中小型企业需要和大型企业一样多的评测、评估和审计能力。问题是当前的技术涉及到大量的人工过程。这个过程对大型企业来说还是不错的，但对于中小型企业来说，存在两个限制其使用这些服务的因素：

成本：无疑，这种需要人工的劳动密集型过程要求高度熟练的高级人才。这就使得人工的评测、评估、审计成本高昂，而这必然不是中小型企业的财力所能承担的。

带宽：除了依赖熟练的技术人才，这种服务还自然存在一个带宽的限制问题。即使价格不是很高，中小型企业也没有足够的带宽来执行评测、评估、审计服务。

这些问题的解决都需要评测、评估、审计过程的自动化，只有这样，中小型企业才能从中受益。

现在又回到了最初的问题上：安全购买者在找什么？在厂商们问这个问题之前，首先需要给予购买者回答这个问题的能力。而使其能够自动评测、评估和审计是完成这个任务的一个好方法。