近年證券期貨商朝向數位化轉型發展，委外及對雲端等第三方服務需求增加，金融監管機構已提升資訊服務委外作業的管理要求，將其納入各公司內部控制措施中。證券業必須加強對於委外資通系統供應商的選擇、管理、終止以及解除合作的風險管控。然而，基於對資安管控工作的實務觀察，即便中華民國證券商業同業公會於2022年12月23日公告「中華民國證券商業同業公會供應鏈風險管理自律規範」的實施，證券業對於委外廠商相關管理機制的建立仍進展緩慢。
據此，本研究針對證券業的資訊服務委外風險，釐清現有的實務作為，期望能發現證券業資訊服務委外可能的風險，提出實務面的資安管理改善意見，降低委外供應鏈的資安風險。
本研究採專家訪談法，深入探討證券業與資訊服務委外廠商在合作過程的合作前、中、後階段，以探析實務層面的資安管理作為。
研究結果顯示：1.證券業要做好強化委外廠商風險管理，關鍵在於合作前的廠商遴選、2.應制定明確的廠商資安能力評估標準、3.需將委外資訊服務風險進行分級評估、4.證券業與廠商最大困難處在成本考量，須視公司規模差異採不同策略、5.應要求供應商修補最基本的資安漏洞。

In recent years, securities and futures companies have been undergoing digital transformation, with an increased demand for outsourcing and third-party services such as cloud solutions. Financial regulatory institutions have heightened the management requirements for outsourced information services, incorporating them into internal control measures of various firms. The securities industry needs to strengthen the risk management of vendor selection, management and termination of outsourced information systems. However, despite the implementation of the "Self-Discipline Regulations for Supply Chain Risk Management of the Securities Industry in the Republic of China" announced by Taiwan Securities Association on December 23, 2022, practical observations indicate that the establishment of management mechanisms related to outsourced vendors in the securities industry has been progressing slowly.
Based on this, the present study focuses on the risks associated with information service outsourcing in the securities industry. It aims to clarify existing practices and identify potential risks in information service outsourcing for securities companies. The study proposes practical improvements in information security management to reduce security risks within the outsourcing supply chain. The research employs expert interviews to delve into the practical aspects of information security management in the collaboration stages between securities firms and outsourced information service providers (before, during, and after cooperation).
The research findings indicate the following recommendations:
1. Securities firms should strengthen outsourced vendor risk management, with a key focus on pre-cooperation vendor selection.
2. Clear criteria for assessing vendor cybersecurity capabilities should be established.
3. Outsourced information service risks should be subject to tiered assessments.
4. The primary challenge for securities firms and vendors lies in cost considerations, necessitating different strategies based on company size.
5. Vendors should be mandated to address fundamental cybersecurity vulnerabilities.

中文文獻
江琬瑂(2007)。組織資訊安全政策實施對資訊安全文化與資訊安全有效性影響之研究 。國立中正大學資訊管理所碩士論文。
林世杰(2017)。應用網路控制技術建置銀行系統防護。輔仁大學資訊管理系碩士在職專班碩士論文。
林本炫(2005)。敘事研究的方法論探討。高雄：復文圖書出版社。
施宜佐(2018)。影響國軍建構有效資安體系因素探討-FAHP 之研究途徑。中原大學企業管理研究所碩士論文。
徐宗國(1997)。質性研究概論。臺北：巨流圖書公司。
翁文宏(2008)。資訊倫理、資訊安全控管與高階主管支持對資訊安全之影響。崑山科技大學企業管理研究所碩士論文。
袁方(2002)。社會研究方法。台北：五南出版社。
財團法人資訊工業策進會(2016)。資訊產業年鑑-資訊服務暨軟體篇，頁 17。
畢恆達(2005)。教授為什麼沒告訴我：論文寫作的枕邊書。台北：學富文化。
莊育泰(2008)。航空公司委外地勤代理商評選模式建立之研究。開南大學空運管理研究所碩士論文。
陳龍潔(2013)。高階主管行動通訊能力與資訊安全關係之研究。元智大學資訊管理所碩士論文。
陳鴻志(2018)。數位金融對證券業的營運轉型之研究-以台新金控所轄的台新證券為例。南台科技大學企業管理系碩士論文。
黃亮宇(1992)。資訊安全規劃與管理。台北：松岡電腦圖書公司。
黃瓊瑩(2011)。企業資訊安全營運管理之績效評估。臺灣大學資訊管理組碩士論文。
黃釋玄(2021)。金融業資訊安全工作委外成功關鍵因素之研究。銘傳大學資訊管理學系碩士在職專班碩士論文。
葉莉貞(2006)。由資源依賴理論及社會資本理論探討資訊服務委外關係模式之研究。銘傳大學資訊管理學系碩士在職專班碩士論文。
劉曉玲(1998)。借力使力：資訊服務委外有春天。資訊與電腦，第二百一十二期：46-47。
樊國楨、楊晉寧(1996)。互連網電子信息交換安全-以電子公文交換作業安全為本。電腦稽核pp. 14-25。
鄭長明(2016)。PMS資訊系統委外廠商評選準則研究—以旅館業為例。逄甲大學經營管理碩士在職專班碩士論文。
賴怡文(2009)。「金融業資訊系統委外廠商評選準則之研究」，開南大學企業與創業管理研究所碩士論文。
謝福隆(2005)。由安全管理觀點硏析我國反恐法制。中央警察大學警政研究所碩士論文。
英文文獻
Backhouse, J., & Dhillon, G.1996, Structures of responsibility and security of information systems, European Journal of Information Systems, 5(1), pp. 2-9.
Drucker, P. F. 2002. Managing in the next society, New York, NY: St. Martin's Press.
Labbs. J.J. 1993, “Successful Outsourcing Depends on Critical Factors“, Personal Journal, Vol. 44, No. 2, pp. 51-60.
Michael F. Corbett. 2004. The outsourcing revolution: why it makes sense and how to do it right. New York, NY: Kaplan Publishing.
Parasuraman, A., Zeithaml, V. A. & Berry, L. L. 1988. SERVQUAL: A multiple item scale for measuring consumer perceptions of service quality. Journal of Retailing, 64(1): 13-40.
Rusell, D. & Gangemi, G. T.1992, Computer Security Basics, California, U.S.A., O’Reilly & Associates Inc.
Von Solms, R. 1998, “Information security management (3): the code of practice for information security management (BS 7799)”, Information Management & Computer Security, pp.224.