Pentingnya informasi dan adanya kemungkinan risiko terjadi gangguan, mengharuskan sebuah organisasi perlu untuk merancang dan mengimplementasikan keamanan informasi. Standar yang dapat digunakan untuk menganalisa tingkat keamanan informasi di organisasi adalah ISO/IEC 27001:2013. Tujuan dari penelitian ini adalah untuk mengukur tingkat keamanan informasi berdasarkan fase Plan sesuai dengan standar ISO/IEC 27001:2013 dan pemodelan sistem manajemen keamanan informasi. Penelitian ini menggunakan jenis pendekatan kualitatif deskriptif, teknik pengumpulan data dilakukan dengan teknik wawancara, observasi. Analisis data dilakukan dengan gap analysis dan untuk mengukur tingkat kematangan penelitian ini mengunakan SSE-CMM. Berdasarkan hasil penelitian, maturity level pada klausul Konteks Organisasi mencapai level 3.5 (well – defined), klausul Kepemimpinan mencapai level 3.3 (Well-Defined), klausul Kebijakan Keamanan 4 (quantitatively controlled), klausul Keamanan Sumber Daya Manusia mencapai level 3.4 (well – defined). Berdasarkan hasil penilaian maturity level ditemukan kekurangan pada manajemen keamanan sumber daya manusia dalam mengimplementasikan kebijakan. Maka, penulis membuat sebuah rekomendasi berupa kebijakan dan SOP sesuai dengan klausul keamanan manajemen sumber daya manusia.
Kata kunci : Manajemen Risiko dan Keamanan Sistem Informasi, Analisis risiko, ISO/IEC 27001 : 2013, Maturity Level, SSE-CMM.