Kebijakan keamanan informasi di PT XYZ Multifinance dirancang untuk digunakan sebagai acuan dalam memahami dan mengidentifikasi serta melakukan analisis penilaian aset, ancaman, kerentanan, insiden atau gangguan, frekuensi terjadinya gangguan, dan pengaruh terhadap keamanan informasi. Sebagai tindak lanjut, kebijakan keamanan informasi perlu dievaluasi untuk menentukan penanganan yang tepat, monitoring, dan dikembangkan sesuai kondisi yang ada. Penelitian ini bertujuan untuk merancang kebijakan keamanan informasi di PT XYZ Multifinance. Penelitian ini menggunakan standar ISO/IEC 27001:2013. Pengumpulan data dan uji validasi rancangan kebijakan dilakukan dengan wawancara terhadap pihak-pihak yang berkaitan dengan keamanan informasi, antara lain: general m-anager TI, manager TI, deputi manager manajemen risiko, dan manager manajemen risiko. Selain itu, pengumpulan data juga dilakukan dengan observasi, studi literatur, mengkaji penelitian-penelitian yang dilakukan sebelumnya, dan dokumen internal organisasi. Dalam menyusun rancangan kebijakan keamanan informasi, tahap-tahap yang dilakukan adalah tahap identifikasi aset, ancaman, dan kerentanan; identifikasi risiko; analisis risiko kualitatif; perencanaan respon terhadap risiko; pemantauan dan pengendalian risiko. Hasil penelitian ini memberikan rancangan kebijakan keamanan informasi yang sesuai untuk diterapkan di PT XYZ Multifinance.