PT. XYZ merupakan perusahaan yang bergerak dalam pembuatan produk militer dan komersial di Indonesia. PT. XYZ memiliki penerapan manajemen risiko dalam pengelolaan TI (Teknologi Informasi) dan proses bisnis pada divisi TI. Akan tetapi, penerapan tersebut belum sepenuhnya menilai adanya ancaman pada aset TI di divisi TI dan menilai seberapa jauh kontrol yang sudah ada dapat mengurangi ancaman maupun risiko yang akan datang serta dampaknya. Implementasi dan penilaian risk assessment terhadap aset TI dilakukan menggunakan ISO 27005 yang difokuskan untuk melakukan pengelolaan/kontrol terhadap risiko TI. Penerapan risk assessment dilakukan dengan mengacu pada risk scenario pada ISO 27005. Penelitian ini dilakukan dengan mengidentifikasi risk scenario pada aset TI berdasarkan penilaian kontrol yang ada pada ISO 27001. Hasil pada penelitian ini berdasarkan latar belakang tersebut, risk assessment pada aset TI menghasilkan level of risk yang mempunyai nilai ekstrem 2, tinggi 4, moderat 24. Risk response terhadap 6 ancaman yang harus dimitigasi. Risk treatment seperti perencanaan dan penerapan disaster recovery, pengecekan fungsi keamanan fisik untuk mengurangi dampak kebakaran dan cek fungsi alarm di setiap ruangan, asuransi seluruh hardware untuk mengurangi biaya dampak kerusakan, dan menambahkan kapasitas dari web hosting atau dilakukannya pemakaian secara bergantian. Sebagai solusi yang menjadi rekomendasi untuk PT. XYZ sebagai panduan dalam mengelola aset TI.