Informasi dewasa ini telah berkembang menjadi sebuah aset yang sangat penting bagi sebuah perusahaan karena sangat mendukung berjalannya bisnis sebuah organisasi. Jatuhnya informasi ke pihak yang tidak berwenang dapat memberikan kerugian bagi organisasi baik dalam skala kecil maupun besar. Seiring dengan perkembangan teknologi, ancaman terhadap informasi yang ada di dalam sebuah sistem terkomputerisasi juga semakin besar. Dengan semakin tingginya ancaman terhadap informasi, maka diperlukan penerapan sistem keamanan informasi yang merupakan sebuah upaya penjagaan informasi untuk mengantisipasi terjadinya ancaman terhadap informasi yang akan menyebabkan dampak negatif bagi organisasi.
Dalam tugas akhir ini akan dilakukan proses perancangan sistem keamanan informasi untuk Dinas Pendidikan Provinsi Sumatera Utara, yang dapat digunakan sebagai acuan dalam melakukan penerapan sistem keamanan informasi. Tahapan awal dalam menentukan perancangan sistem keamanan informasi adalah melakukan asesmen risiko dengan ISO 27005, yang meliputi identifikasi aset, identifikasi kelemahan, ancaman, probabilitas, dan dampak, dan melakukan analisis risiko. Tahapan kedua yang dilakukan adalah penentuan kontrol keamanan ISO 27001 yang sesuai dengan risiko-risiko yang dimitigasi berdasarkan hasil analisis risiko. Setelah menentukan kontrol keamanan yang digunakan, maka akan dilakukan analisis tingkat kematangan dengan menggunakan CMMI untuk menganalisis tingkat persiapan Dinas Pendidikan Provinsi Sumatera dalam menerapkan kontrol keamanan yang telah dipilih untuk mendukung penerapan sistem keamanan informasi.
Dari hasil analisis risiko diperoleh ada 19 risiko yang harus dimitgasi. Berdasarkan risiko-risiko yang akan dimitgasi, dipilih klausa 8, 9, 11, dan 12 yang terdiri dari kontrol keamanan yang dapat mengatasi risiko yang harus dimitigasi dan mendukung penerapan sistem keamanan informasi. Hasil analisis tingkat kematangan persiapan Dinas Pendidikan Provinsi dalam menerapkan sistem keamanan informasi berdasarkan kontrol keamanan yang telah dipilih menunjukkan berada tingkat kematangan dua (aktif). Dari hasil analisis risiko, penentuan kontrol keamanan, dan hasil analisis tingkat kematangan kemudian akan ditentukan kebijakan-kebijakan yang dipakai oleh Dinas Pendidikan Provinsi Sumatera Utara dalam mengantisipasi risiko-risiko yang akan dimitigasi. Kebijakan-kebijakan yang telah ditentukan kemudian dijabarkan secara detil dan dipakai sebagai perancangan sistem keamanan informasi yang sesuai dengan kondisi Dinas Pendidikan Provinsi Sumatera Utara.
Informasi, Sistem Keamanan Informasi, Analisis Risiko, Kontrol Keamanan, Tingkat Kematangan, ISO 27001, ISO 27005, CMMI.