Keamanan informasi merupakan salah satu bagian penting dari implementasi teknologi informasi. Era modern saat ini, banyak organisasi telah sangat bergantung pada teknologi informasi, salah satunya adalah Lembaga XYZ. Perkembangan teknologi informasi juga diiringi dengan perkembangan kejahatan cyber, sehingga ancaman dari luar serta kerentanan dari dalam semakin kompleks. Manajemen keamanan informasi bukanlah hal yang mudah, karena di dalamnya bukan hanya mengelola teknologi saja, namun juga mengelola proses dan pengguna teknologi itu sendiri. Oleh karena itu suatu standard perlu diterapkan sebagai acuan utama dalam menerapkan sistem manajemen keamanan informasi. Salah satu standard yang dapat digunakan adalah kerangka kerja SNI ISO/IEC 27001:2009 dan NIST SP 800-53. Setelah implementasi keamanan informasi dilakukan, perlu dilakukan audit secara berkala untuk mengukur seberapa patuh organisasi terhadap acuan yang digunakan. Hal ini untuk menjamin kualitas penjagaan informasi yang dilakukan oleh organisasi. Kombinasi SNI ISO/IEC 27001:2009 dan NIST SP 800-53 menghasilkan suatu kerangka pemetaan yang saling melengkapi, di mana kontrol-kontrol pada SNI ISO/IEC 27001:2009 bersifat lebih umum, sedangkan kontrol-kontrol pada NIST SP 800-53 bersifat lebih rinci. Produk yang dihasilkan dari proses audit adalah status kepatuhan organisasi terhadap suatu acuan dan rekomendasi untuk menutupi kelemahan-kelemahan yang ditemukan. Sehingga setiap proses audit keamanan informasi yang dilakukan akan membawa sistem manajemen keamanan informasi menjadi lebih baik.