Dalam beberapa tahun terakhir, cloud computing telah berkembang menjadi salah satu TI yang tumbuh paling cepat. Saat ini beberapa instansi pemerintahan di Indonesia sudah mengimplementasikan layanan teknologi tersebut. Diantara semua keunggulan dan manfaat yang ditawarkan cloud computing, muncul tantangan-tantangan baru terhadap manajemen keamanan pada cloud computing, seperti kebocoran data. Sebagai salah satu langkah yang dapat dilakukan untuk mencapai keamanan dalam transisi cloud computing adalah klasifikasi data. Peraturan Pemerintah (PP) Republik Indonesia Nomor 71 tahun 2019 tentang penyelenggaraan sistem dan transaksi elektronik di Indonesia, khususnya pada Pasal 20 ayat (6) dan ayat (7) juga menyebutkan bahwa dalam hal Penyelenggaraan Sistem Elektronik Lingkup Publik yang menggunakan layanan pihak ketiga, Penyelenggara Sistem Elektronik (PSE) Lingkup Publik wajib melakukan klasifikasi data sesuai risiko yang ditimbulkan, namun ketentuan lebih lanjut mengenai klasifikasi data tersebut akan diatur dengan Peraturan Menteri terpisah. Berdasarkan penyataan tersebut diketahui bahwa hingga saat ini belum ada Peraturan Menteri atau standar baku terpusat lainnya yang membahas tentang klasifikasi data untuk PSE di Indonesia, sehingga sebagian besar PSE yang sudah mengimplementasikan cloud computing belum melakukan proses klasifikasi data. Oleh karena itu untuk memudahkan PSE dalam melakukan klasifikasi data sesuai tingkat risiko, maka perlu disusun suatu regulasi atau kebijakan yang dapat dijadikan pedoman bagi PSE lingkup publik dalam melakukan klasifikasi data. Penelitian ini dilakukan dengan metodologi penelitian kualitatif. Adapun perumusan kebijakan klasifikasi data dalam penelitian ini dilakukan dengan menggunakan Soft System Methodology dengan mengacu kepada standar ISO / IEC 27001: 2013 dan NIST SP 800-60. Hasil penelitian ini berupa konsep dan rancangan kebijakan klasifikasi data yang menggunakan model dengan skema klasifikasi tiga tingkat yang terdiri dari rahasia, terbatas, dan biasa/terbuka. Masing-masing tingkat klasifikasi tersebut diberikan rekomendasi penanganan keamanan yang harus dilakukan yang terdiri dari pelabelan, penyimpanan, pemberian akses, pengiriman elektronik, pengiriman manual, penggandaan, dan metode penghancuran. Selanjutnya untuk melengkapi kebijakan tersebut, terdapat rancangan standar operasional prosedur (SOP) yang pendukung draf kebijakan tersebut yang dapat dijadikan panduan PSE dalam menentukan tingkat klasifikasi data dan pengamanan data tersebut.