Informasi merupakan aset vital bagi suatu organisasi, oleh karena itu maka diperlukan suatu mekanisme yang terstruktur untuk melindungi informasi yang dimiliki suatu organisasi. Perguruan tinggi merupakan salah satu sektor yang berisiko sangat tinggi terhadap keamanan informasinya. Perguruan tinggi dihadapkan pada tantangan menyeimbangkan antara kultur keterbukaan informasi dengan penjaminan perlindungan aset informasinya. Universitas XYZ merupakan salah satu perguruan tinggi yang memiliki aset informasi yang perlu dilindungi. Berdasarkan hasil wawancara dapat diketahui bahwa telah terjadi beberapa masalah yang menyangkut insiden keamanan informasi yang menimbulkan kerugian berupa kerugian finansial, kerugian operasional dan kerugian reputasi atau citra Universitas XYZ. Penelitian ini bertujuan untuk mengidentifikasi aset, risiko dan memberikan kontrol keamanan informasi yang sesuai dengan keadaan di Direktorat Akademik Universitas XYZ. Kontrol keamanan informasi yang digunakan berbasis ISO 27001:2013. Penelitian ini merupakan penelitian studi kasus dengan metode penelitian semi kuantitatif. Penelitian ini membahas mengenai serangkaian kegiatan manajemen risiko dan menerapkan kontrol keamanan informasi yang tepat yang terdapat pada ISO 27001:2013. Hasil penelitian ini adalah rancangan kebijakan keamanaan informasi bagi Direktorat Akademik Universitas XYZ. Rancangan kebijakan keamanan informasi digunakan sebagai acuan dalam meminimalisir risiko keamanan informasi.