從各種資安事件中發現,多數組織在安全技術上著力較深,較缺乏全面安全管理概念,尤其是人員的觀念及習慣,而這些管理漏洞,便給了犯罪威脅機會。本文主要研究目的應用重要一績效分析法(Importance-Performance Analysis, IPA),從一般使用者本身就對於資訊委外安全風險之認知,與資訊專家所認定的風險,來分別確認資訊委外安全之風險,並由一般使用者及資訊專家所認知的資訊委外安全風險之差距,來改善公部門現有的資訊委外安全風險,如此的改善,對一般使用者而言更具說服力,更能出於自願性,以達到真正改善的效果。本研究以問卷調查方式,針對公部門辦理資訊系統委外之單位為對象。例如,戶役政資訊系統、地政資訊系統、警政資訊系統用、稅務資訊系統等20個單位發放問卷,進行資訊委外風險之調查,研究發現在高風險區,一般使用者與資訊專家有多數重複的地方,由此可知均對於這些資訊委外安全在觀念上已有相當程度的認知。進一步以t檢定來檢驗其差異性,發現重複的風險因素9項有差異,一般使用者自認為這些風險因素低於資訊專家認定,意即該風險因素屬性被資訊專家認定較一般風險因素屬性重要,因此這9個風險因素,管理者或相關使用者均需列為最優先處理之風險因素。