是投资，而非纯粹支出

企业的信息安全预算越来越被普遍认为是一种投资行为而不是单纯的成本支出——这已经是显而易见的常识啦。

信息安全实质上是对业务风险的管理，在今天，这种风险日益与企业财务、声誉、客户满意度强相关了。在信息安全投资方面，企业需要注意的趋势便是整合风险、影响与成本，了解数据泄露对企业造成的直接损失与数据安全给企业带来的潜在收益。

逐年增加的趋势

中国国际软件和信息服务交易会发布《2014中国企业信息化及软件需求报告》显示，预料今年财政信息化投资将达572.2亿元人民币，教育信息化投资将达612.1亿元，能源信息化投资将达453.9亿元，合计将达1,638亿元。报告还显示，今年企业对信息安全防护的投资将增逾30%，企业及政府采购的软件将增7.8%。

阻止已知与预防未知

信息安全具备的是一种衡量与减轻风险的业务功能，很多企业目前停留在阻止已知威胁，而不具备预防未知威胁的前瞻性。要想给企业带来长期的成功的安全战略，只响应当前威胁是不可行的。

想要企业的信息安全预算塑造出满意的安全成效，“哪儿痛医哪儿“的策略已经落后啦，需要构建可以随着时间推移而变化的安全解决方案，只有这样，安全预算才能发挥最大的价值。