Sertifikasi di lingkungan Direktorat XYZ sebagai salah satu aktivitas utama di lingkungan Direktorat XYZ tidak lepas dari peran SI/TI untuk mendukung layanan sertifikasi secara optimal, yang pada akhirnya dapat memberikan layanan optimal sertifikasi. Agar dapat memberikan layanan optimal sertifikasi, diperlukan adanya data yang berkualitas, yang dapat memenuhi kriteria, reliabilitas, integritas, dan ketersediaannya. COBIT 4.1 dan SNI ISO/IEC 27001:2009 merupakan kerangka kerja tata kelola TI dan standar keamanan informasi yang merupakan praktik terbaik. Pengkombinasian keduanya dalam penyusunan kebijakan tata kelola TI digunakan dalam penelitian sebagai dasar dalam penyusunan rancangan kebijakan dan prosedur pengelolaan data, dengan harapan dapat menghasilkan kebijakan dan prosedur yang komprehensif dan memberikan manfaat pengelolaan keamanan informasi bagi organisasi yang menerapkan keduanya. Metode yang digunakan dalam penelitian ini adalah observasi, kuisioner dan wawancara berdasarkan COBIT 4.1 dan SNI ISO/IEC 27001:2009. Selain itu, digunakan metode Delphi untuk validasi rancangan kebijakan dan prosedur. Berdasarkan hasil penilaian dan analisis risiko, dipilih kontrol-kontrol yang dapat diterapkan untuk meningkatkan keamanan informasi. Kontrol-kontrol tersebut dimasukkan dalam rancangan kebijakan dan prosedur keamanan informasi. Berdasarkan hasil kuisioner dan wawancara, dilakukan identifikasi dan analisis hasil pengukuran kematangan, analisis kesenjangan tingkat kinerja dan tingkat kematangan, analisis hasil penilaian risiko, identifikasi dan analisis dampak, identifikasi dan analisis kelemahan kontrol. Berdasarkan COBIT 4.1 dipilih proses-proses yang menghasilkan masukan (input) dalam proses pengelolaan data dan memastikan keamanan sistem sebagai aktivitas dan proses dalam rancangan kebijakan dan prosedur pengelolaan data.Hasil pengukuran kinerja berdasarkan COBIT 4.1 menunjukkan bahwa kinerja DS5 dann DS11 masih kurang. Sedangkan hasil pengukuran kematangan menunjukkan proses pengelolaan data dan memastikan keamanan sistem berada pada tingkat 2 (dua), dengan harapan tingkat kematangan berada pada tingkat 4 (empat). Berdasar hasil penilaian kematangan disusun rekomendasi tindakan perbaikan untuk peningkatan kematangan, antara lain penyusunan kebijakan dan prosedur pengelolaan data dengan memperhatikan aspek keamanan sistem serta tim/kelompok kerja yang bertugas mengevaluasi dan mengawasi pelaksanaan kebijakan dan prosedur. Pengendalian dalam kebijakan dan prosedur keamanan informasi sesuai dengan ISO/IEC 27001:2005 meliputi pengendalian: organisasi keamanan informasi,pengelolaan aset informasi, keamanan SDM, keamanan fisik dan lingkungan, pengelolaan komunikasi dan operasional, pengaturan akses, keamanan informasi dalam pengadaan dan pemeliharaan sistem informasi, pengelolaan gangguan keamanan informasi, keamanan informasi dalam pengelolaan kealngsungan kegiatan, dan kepatuhan.Dalam rancangan kebijakan dan prosedur pengelolaan data dengan memperhatikan aspek keamanan informasi, COBIT 4.1 digunakan sebagai payung kebijakan tata kelola TI khususnya pada pengelolaan data; sedangkan dan ISO/IEC 27001:2005 digunakan sebagai acuan dalam penyusunan kebijakan keamanan informasi. Keduanya saling melengkapi menghasilkan kebijakan dan prosedur yang komprehensif mencakup people, process, dan technology untuk mencapai kerahasiaan, ketersediaan, dan integritas informasi. Kerahasiaan, ketersediaan, dan integritas data dan informasi dicapai melalui aktivitas dan proses serta kontrol yang sesuai untuk diterapkan.