PT XYZ adalah perusahaan milik swasta yang bergerak di bidang online travel agent (OTA). PT XYZ menggunakan aplikasi OTA berupa web dan mobile apps untuk menjalankan bisnis utamanya menjual produk untuk kebutuhan travelling dan tourism baik penjualan tiket transportasi, akomodasi dan event. Aplikasi OTA sebagai aset penting dari PT XYZ harus dilindungi dari segala ancaman yang dapat mengganggu proses bisnis dan memberikan kerugian bagi perusahaan. Adanya berbagai ancaman dan kerentanan terhadap aplikasi OTA membutuhkan adanya hasil penilaian risiko yang mampu mendeteksi risiko-risiko beserta dampaknya bagi perusahaan dan seperti apa penanganan terhadap risiko-risiko tersebut. Penelitian ini menggunakan metode kualitatif dengan mengumpulkan data melalui wawancara, focus group discussion (FGD), observasi, dan studi dokumen. Penentuan metode Penilaian Risiko Keamanan Informasi (PRKI) pada penelitian ini menggunakan Core Unified Risk Framework (CURF) untuk melakukan evaluasi terhadap sembilan metode PRKI yang dipilih berdasarkan kriteria pemilihan metode PRKI dan dengan melakukan studi literatur terhadap metode PRKI dengan skor tertinggi berdasarkan hasil evaluasi menggunakan CURF. Berdasarkan hasil evaluasi metode ISO 27005 dipilih untuk menjalankan PRKI aplikasi OTA PT XYZ. Proses PRKI berdasarkan ISO 27005 melalui empat tahap yaitu, penentuan konteks, identifikasi risiko, estimasi risiko, dan evaluasi risiko untuk menghasilkan rekomendasi penanganan risiko hasil dari estimasi dan evaluasi risiko