Ada berbagai cara untuk meningkatkan kinerja organisasi dalam memenuhi kebutuhan dalam bisnisnya. Salah satu kebutuhan yang menjadi bagian yang sangat penting dalam organisasi adalah informasi. Perlu adanya teknologi informasi sebagai alat bantu meningkatkan efisiensi pengerjaan. Namun dalam penerapannya TI tidak selalu menjadi solusi yang baik, muncul berbagai risiko yang dapat menjadi hambatan dan kerugian bagi organisasi. Salah satu organisasi yang bertanggung jawab dalam pengelolaan informasi adalah Lembaga XYZ. Telah terdapat beberapa SOP atau kebijakan yang mengatur penggunaan, perawatan, dan keamanan TI pada Lembaga XYZ. Namun masih ditemukan beberapa aktivitas yang belum mencapai target perencanaan kinerja, khususnya dalam manajemen risiko keamanan informasi pada Sistem Informasi Pengelolaan Surat (SIPS). Maka dari itu untuk meminimalisir kerugian dan mencegah risiko yang akan terjadi, pengukuran tingkat kapabilitas manajemen risiko keamanan informasi harus dilakukan. Penelitian ini bertujuan untuk merancang alat ukur manajemen risiko keamanan informasi dari SIPS berdasarkan COBIT 5. Domain yang terpilih adalah EDM03 (Ensure Risk Optimisation) dan APO12 (Manage Risk). Hasil penelitian ini berupa alat ukur tingkat kapabilitas manajemen risiko keamanan informasi yang didasarkan pada metode Process Assessment Model (PAM) COBIT 5 yang dapat digunakan Lembaga XYZ atau peneliti lainnya untuk melakukan pengukuran secara mandiri. Hasil dari pengukuran dapat menjadi tolak ukur untuk meningkatkan manajemen risiko keamanan informasi.

DOI : https://doi.org/10.33005/scan.v16i3.2876