Outsourcing TI telah menjadi pilihan strategi bagi perusahaan untuk meningkatkan daya saing. Kesadaran adanya keterbatasan kemampuan sumber daya internal perusahaan dalam pengelolaan TI, merupakan salah satu alasan dalam melakukan outsourcing TI. Sebagai pemilik data, perusahaan perlu menerapkan proses manajemen dan prosedur keamanan yang tepat sehingga perlindungan terhadap data dan kerahasiaan pelanggan tetap terjamin setiap saat. Dalam hal ini, perlu disadari bahwa pengelolaan operasional TI bisa dialihkan kepada pihak ketiga, namun tanggung jawab terhadap keamanan data tetap tidak bisa dialihkan. Penelitian ini dianggap penting oleh penulis karena untuk mengetahui model tata kelola keamanan informasi seperti apa yang cocok diterapkan dalam kondisi outsourcing TI kepada pihak ketiga. Standar acuan dalam melakukan kajian adalah Information Security Management System (ISMS) ISO 27001:2005. Sedangkan Outsourcing Management Body Of Knowledge (OMBOK) release 2.3 dipergunakan untuk memetakan peran dan tanggung jawab pihak-pihak terkait terhadap keamanan informasi. Subjek penelitian adalah PT. Kereta Api Indonesia (Persero). Hasil penelitian ini diharapkan mampu memberikan gambaran tentang tata kelola keamanan informasi yang sesuai untuk diterapkan dalam kondisi outsourcing TI kepada pihak ketiga. Dengan adanya gambaran tersebut, maka pihak manajemen dapat membuat kebijakan, evaluasi dan menyusun langkah-langkah yang dipandang perlu untuk mendorong penerapan sistem ini ke arah yang lebih baik.