Informasi merupakan salah satu aset bagi organisasi. Oleh karena itu, organisasi perlu melakukan pengamanan terhadap aset informasi yang dimilikinya dari akses, penggunaan, modifikasi, serta penghancuran oleh pihak yang tidak berhak. Berdasarkan Dokumen Rencana Induk Teknologi Informasi BPPT 2015-2019 disebutkan secara eksplisit bahwa salah satu permasalahan yang dihadapi oleh BPPT adalah belum terimplementasinya sistem manajemen keamanan informasi yang sesuai dengan standar ISO 27001. Padahal menurut Peraturan Menteri Komunikasi dan Informatika No. 4 Tahun 2016, setiap lembaga yang menyelenggarakan sistem elektronik berkategori strategis harus mengimplementasikan standar ISO/SNI 27001. Setelah dilakukan analisis akar masalah, ditemukan bahwa BPPT belum memiliki Kebijakan dan SOP terkait pemanfaatan TI yang mendukung sistem manajemen keamanan informasi. Oleh karena itu, penelitian ini bertujuan untuk melakukan penyusunan prosedur pendukung kebijakan keamanan informasi. Penelitian ini dilakukan dengan metodologi penelitian kualitatif. Data dikumpulkan melalui studi dokumen, wawancara semi-terstruktur, dan Focus Group Discussion (FGD) terhadap sejumlah pejabat struktural dan fungsional di BPPT. Analisis data transkrip dilakukan dengan menggunakan metode tematik analisis. Adapun perumusan SOP dilakukan dengan menggunakan Soft System Methodology dengan mengacu kepada domain yang dipilih dari sejumlah kontrol pada ISO 27002 dan NIST 800-82. Dari hasil perancangan tersebut dihasilkan tujuh buah SOP terkait dengan pengguna. Diharapkan rekomendasi perancangan SOP yang dihasilkan dapat memberikan masukan bagi peningkatan kualitas sistem manajemen keamanan informasi di BPPT.