PT XYZ merupakan penyedia layanan pengelolaan dokumen tagihan, bekerjasama dengan bank-bank lokal maupun asing. Dokumen tagihan berkaitan dengan informasi pelanggan bank, sehingga keamanan informasi perlu diatur untuk memberikan layanan yang memenuhi kriteria kemanan informasi. Hasil audit kemanan informasi menunjukkan bahwa keamanan informasi PT XYZ lemah, kurang terpantau dan dievaluasi. Penelitian ini berfokus pada audit kemanan informasi sesuai ISO 27001 untuk memberikan rekomendasi kebijakan dan prosedur keamanan informasi yang kompherensif. Metodologi yang digunakan adalah penilaian, analisis risiko dan dampak, pemilihan kontrol-kontrol serta rekomendasi kebijakan dan prosedur. Hasil audit menunjukkan adanya kesenjangan antara kebijakan dan prosedut yang berlaku di PT XYZ dengan ISI 27001.