PT. XYZ ialah salah satu anak perusahaan dari PT. Telekomunikasi Indonesia yang berfokus pada layanan Business Process Outsourcing. Penggunaan aset Teknologi Informasi sudah dilakukan oleh PT. XYZ untuk menunjang proses bisnis perusahaan. Perencanaan keamanan informasi dilakukan dengan pendekatan OCTAVE Allegro dalam penilaian risiko. Metode OCTAVE Allegro dipilih karena metode tersebut sudah mencakup tiga aspek keamanan informasi yaitu kerahasiaan, integritas, dan ketersediaan. Penilaian risiko ini akan menjadi acuan untuk membuat langkah mitigasi risiko berdasarkan standar ISO 27001. Penyusunan langkah mitigasi risiko diharapkan dapat meningkatkan tingkat keefektifan dalam penggunaan aset Teknologi Informasi pada PT. XYZ. Hasil penelitian menunjukan bahwa terdapat 15 risiko yang teridentifikasi dan terdapat 14 poin mitigasi risiko.
Kata Kunci: penilaian risiko, keamanan informasi, OCTAVE Allegro, ISO 27001.