Kesadaran pentingnya kontrol keamanan dalam melindungi aset perusahaan, yang berupa data dan informasi, telah semakin meningkat. Media yang bersifat terbuka saat ini dan kebebasan orang berbicara, menyebabkan kekhawatiran terganggunya kerahasiaan informasi. Perusahaan masih memiliki persepsi bahwa, dengan menggunakan teknologi canggih keamanan informasi, maka keamanan informasi pasti diperoleh. Padahal faktor organisasi dan personil adalah faktor yang sangat menentukan tercapainya keamanan informasi. Pembangunan kontrol keamanan informasi di PT. Multi Terminal Indonesia (PT.MTI), yang bergerak dalam bidang logistik, masih berdasarkan anggaran dan kebutuhan sementara, tanpa ada penilaian risiko terlebih dahulu, dan pemilihan strategi meredakan risiko, sehingga kontrol keamanan informasi yang dibangun belum dapat melindungi informasi secara efektif dan efisien. Dengan permasalahan tersebut perlu dilakukannya perancangan keamanan berdasarkan hasil penilaian risiko. Penilaian risiko keamanan informasi (information security risk assesment) merupakan awal dari proses pengelolaan risiko (risk management), yang perlu dilakukan untuk mengetahui potensi ancaman dan risiko. Selanjutnya akan diusulkan strategi untuk meredakan risiko (risk mitigation), sebagai rekomendasi penting bagi perancangan keamanan informasi yang komprehensif, berdasarkan penilaian risiko. Dengan melakukan penilaian risiko (risk assessment), dan dilanjutkan mitigasi risiko (risk mitigation), akan dapat melakukan perancangan keamanan informasi yang komprehensif tentang strategi dan kontrol keamanan apa yang harus diimplementasikan oleh perusahaan, untuk mencapai tujuan dan sasaran keamanan informasi.Awareness of the importance of security controls to protect company assets, which include data and information, has been increasing. Media more open at this time, and the freedom to speak, causing interference security information. Companies still have a perception that, by using the advanced technology of information security, the security of certain information obtained. While the organization and personnel are factors that determine the achievement of information security. Development of information security controls in the PT. Multi Terminal Indonesia (PT.MTI) is still based on the needs and budget, without any risk assessment first, and selection strategies mitigate risks, so security has not been built to protect information effectively and efficiently. Based on the problems, the design must be based on the information security risk assessment. Information security risk assessment is the beginning of the process of risk management, which needs to be done to find out potential threats and risks. And proposed strategies to mitigation a comprehensive information security, based on risk assessment.Risk assessment will be followed by risk mitigation, which provides a comprehensive evaluation of security and control strategies should be implemented by PT. MTI, in order to achieve the goals and objectives of information security. Key word: Risk assessment, Risk mitigation.