Keamanan informasi tidak bisa hanya difokuskan pada tools atau teknologi keamanan informasi, melainkan perlu adanya pemahaman dari setiap organisasi tentang apa yang harus dilindungi serta menentukan secara tepat mengenai solusi yang dapat menangani permasalahan kebutuhan keamanan informasi. PT Matahari Department Store merupakan perusahaan ritel terbesar di Indonesia yang memiliki visi yaitu menjadi pusat fashion dan gaya hidup yang paling sukses di Indonesia. Menyikapi hal tersebut perlu adanya pembenahan seiring dengan kemajuan teknologi yang terus meningkat. Dalam menjalankan proses bisnis nya, perusahaan menggunakan pedoman ASEAN Corporate Governance Scorecard (ACGS) yang fokus terhadap bidang bisnis secara umum. Namun, pedoman ini tidak memiliki fokus terhadap risiko keamanan informasi. Oleh sebab itu untuk mengantisipasi dampak risiko yang terjadi pada aset informasi di perusahaan, kerangka kerja yang akan digunakan adalah OCTAVE Allegro. Tujuan dari penelitian ini adalah melakukan tahapan proses analisis risiko keamanan informasi sesuai dengan kerangka kerja OCTAVE Allegro, mengetahui proses mitigasi risiko serta memberikan hasil rekomendasi kontrol terhadap penilaian risiko menggunakan pedoman ISO 27002:2013.
Berdasarkan hasil penelitian dapat diketahui bahwa jumlah risiko yang berhasil diidentifikasi adalah sebanyak 23 area dengan nilai tertinggi terdapat pada beberapa risiko yaitu penyalahgunaan user akses, kehilangan data akibat serangan virus, serta penyebaran data informasi dengan masing-masing nilai adalah 43. Hasil analisis menunjukkan bahwa 15 risiko akan dimitigasi (mitigate), 4 risiko akan ditangguhkan (defer), dan 4 risiko akan diterima (accept). Kemudian rekomendasi kontrol yang diberikan berdasarkan aspek people ialah pelatihan kepada karyawan serta pemberian sanksi tegas terhadap karyawan. Untuk aspek process menitikberatkan pada kebijakan pelanggaran keamanan informasi, kebijakan kontrol akses serta kebijakan back up data. Serta pada aspek technology ditekankan pada pemberian password untuk keamanan jaringan, perawatan sistem dan penggunaan antivirus pada setiap perangkat.