Kebijakan keamanan informasi di PT XYZ Multifinance dirancang untuk digunakan sebagai acuan dalam memahami dan mengidentifikasi serta melakukan analisis penilaian aset, ancaman, kerentanan, insiden atau gangguan, frekuensi terjadinya gangguan, dan pengaruh terhadap keamanan informasi. Sebagai tindak lanjut, kebijakan keamanan informasi perlu dievaluasi untuk menentukan penanganan yang tepat, monitoring, dan dikembangkan sesuai kondisi yang ada. Penelitian ini bertujuan untuk merancang kebijakan keamanan informasi di PT XYZ Multifinance. Penelitian ini menggunakan standar ISO/IEC 27001:2013. Pengumpulan data dan uji validasi rancangan kebijakan dilakukan dengan wawancara terhadap pihak-pihak yang berkaitan dengan keamanan informasi, antara lain: general m-anager TI, manager TI, deputi manager manajemen risiko, dan manager manajemen risiko. Selain itu, pengumpulan data juga dilakukan dengan observasi, studi literatur, mengkaji penelitian-penelitian yang dilakukan sebelumnya, dan dokumen internal organisasi. Dalam menyusun rancangan kebijakan keamanan informasi, tahap-tahap yang dilakukan adalah tahap identifikasi aset, ancaman, dan kerentanan; identifikasi risiko; analisis risiko kualitatif; perencanaan respon terhadap risiko; pemantauan dan pengendalian risiko. Hasil penelitian ini memberikan rancangan kebijakan keamanan informasi yang sesuai untuk diterapkan di PT XYZ Multifinance.

---

Information security policy at PT XYZ Multifinance designed which can be applied as a reference in understanding and identifying and also analyzing asset assessments, threats, vulnerabilities, incidents or disruptions, frequency of disturbances, and the impact on information security. As a follow up, information security policies need to be evaluated to determine the appropriate handling, monitoring, and developed according to existing conditions. This study aims to design an information security policy at PT XYZ Multifinance. This study uses the ISO / IEC 27001: 2013 standard. Data collection and validation tests for policy drafts were conducted by interviewing parties related to information security, including: IT general manager, IT manager, deputy risk management manager and risk management manager. In addition, data collection was also carried out by observation, literature study, reviewing previous studies, and internal organizational documents. In drafting an information security policy, the steps taken are the identification of assets, threats and vulnerabilities; risk identification; qualitative risk analysis; risk response planning design; monitoring and controlling risk. The objective of this study can provide an appropriate information security policy design to be implemented in PT XYZ Multifinance.