1.明白组织章程　

　　对于公司来说，有很多种不同种类的信息安全协会可供选择。ISAC（信息共享与分析中心）提供风险、弱点与威胁方面的信息，还提供一套匿名报告体系，供工业部门的会员分享安全信息，如攻击类型和攻击偏好等，同时不会暴露公司的数据和信息。另一些协会着重于在组织间分享最好的方案，并准备文件和工具来改善安全措施。

　　在众多不同的协会中，每一个协会都有自己独特的地方。有些擅长与地理分析，有的关注特定的行业或部门，其他的一些协会则由特定规模的公司组成。你可以点击这里查看比较知名的行业协会以及它们的各自特点。

　　2.了解加入协会的收益

　　仔细研究细则，并列举出公司加入协会以后的显性收益及隐性收益。不要忘记同协会中的会员进行讨论，尤其是与你公司规模相同、行业相似的公司。

　　3.明确会员义务

　　行业协会会员是双行道。特别是ISAC这种，投资回报率主要依赖于会员公司所提供的信息。确保管理层明白将数据提交给ISAC，并与其他公司共享安全数据的概念与步骤。不论怎样都不要过于投入。参加过多的行业协会将降低你的关注度，也会降低你从会员制中所的得收益。

　　4.指定一名代表以及预备代表

　　在公司中指定一个员工，负责处理与协会的关系。代表负责查收所有的出版物、新闻邮件以及一些其他的会员资料，并在公司与协会之间做好沟通工作。如果公司中有人能完全明白会员资格的收益与义务，那么就能更好的衡量成为会员所能带来的收益。你还应该指定一名预备代表，随时填补原有代表的空缺。更重要的是，要提醒代表与其他公司交换信息的原则与底线。

　　5.一定要参与

　　大多数主要的信息安全协会都会召开会议，主办培训、网上信息发布、电话会议等等。有时，参加这些活动的费用已经包括在会费中。而这些活动则是你从会员资格中获得投资回报率的关键。

　　6.每年对会员资格重新加以评估

　　在续费之前，一定要与你们派往协会的代表坐下来好好商讨一下，看是否需要继续参加这个协会。代表们要列举上一年公司从会员资格中获得的收益，这些收益包括：在新的攻击产生前便能提供警报。为你公司量身定做的安全协议和指导，一年能节省大约$xx。与同行业的公司建立联系，并在防止攻击与威胁方面分享信息与心得。

　　诚然，对于很多公司来说，会费不是一笔小的开支。但如果能明智使用，信息和安全资源能带来很好的投资回报率。

关于作者
Al Berg，CISSP，是公司企业信息安全部的技术指导，专为金融服务业提供计算机服务。Al已在信息安全业工作了10年，并为很多大型企业以及美国国防部提供咨询服务。AL曾在很多美国与欧洲的研讨会上发言，并发表过很多关于网络和安全的文章。