Mayoritas instansi penyelenggara pelayanan publik belum memiliki/sedang menyusun kerangka kerja keamanan informasi yang memenuhi standar SNI ISO/IEC 27001: 2009. Salah satunya adalah PT PLN (Persero) DJBB. Beberapa kasus terjadi terkait dengan kebijakan keamanan informasi, keamanan fisik dan lingkungan, serta manajemen komunikasi dan operasi. Oleh karena itu, dilakukan audit untuk perbaikan dalam sistem manajemen keamanan informasi, terutama dalam perbaikan dan penyusunan Standard Operating Procedure (SOP) terkait keamanan informasi agar lebih optimal.
Jenis penelitian yang digunakan adalah penelitian terapan. Penelitian ini termasuk penelitian kualitatif bersifat deskriptif. Teknik pengumpulan data yang digunakan antara lain triangulasi, wawancara terstruktur, observasi dan pengumpulan dokumen. Yang menjadi informan adalah Deputi Manager TI, Supervisor Aplikasi TI, Supervisor Infrastruktur TI, dan Assistant Analyst Operasi dan Pemeliharaan Infrastruktur TI. Gap analysis dituangkan dalam bentuk tabel work paper gap analysis. Model kematangan yang digunakan adalah enam tingkatan CMMI (Capability Maturity Model Integration).
Hasil penelitian menunjukkan bahwa klausul kebijakan keamanan dan keamanan dan keamanan fisik dan lingkungan mencapai level 4 (managed), sedangkan kalusul manajemen komunikasi dan operasi mencapai level 5 (optimized).
Key word: Audit Keamanan Informasi, SNI ISO/IEC 27001: 2009, Maturity Level, Gap Analysis