Dalam keamanan informasi, aspek paling kompleks seperti sosioteknis dan faktor manusia, masih menjadi “rantai terlemah” dan paling sulit dipahami dalam menciptakan lingkungan digital yang aman. Sehingga, evaluasi kesadaran keamanan perlu dilakukan berkala untuk memastikan bahwa seluruh anggota Settama Badan XYZ, yang setiap harinya memiliki tugas dan tanggung jawab terhadap pengelolaan data strategis organisasi, dapat memahami risiko keamanan hingga konsekuensi dari perilaku/tindakan yang dilakukan di pekerjaan. Tujuan penelitian ini adalah untuk mengevaluasi kesadaran keamanan informasi personel Settama Badan XYZ. Penelitian dilakukan dengan pendekatan kuantitatif melalui kuesioner dan eksperimen melalui simulasi phishing. Kuesioner yang digunakan mengadopsi framework Knowledge, Attitude, dan Behavior (KAB), yang dikombinasikan dengan Human Aspects of Information Security Questionnaire (HAIS-Q), Indeks KAMI, dan masukan pakar dengan total 81 pertanyaan. Sedangkan untuk pendekatan eksperimen menggunakan framework dan simulator Gophish. Sampel penelitian adalah pegawai Settama Badan XYZ yang dipilih secara acak, dengan jumlah 200 orang untuk pengisian kuesioner dan 100 orang untuk simulasi phishing. Sebelum dilakukan perhitungan skor akhir, dilakukan kalkulasi pembobotan prioritas dengan pendekatan analytic hierarchy process (AHP), untuk setiap fokus dan subfokus area yang diteliti. Skor akhir kesadaran keamanan informasi pegawai Sekretariat Utama adalah 83,74%, dan dapat dikategorikan baik berdasarkan skala Kruger. Namun, masih terdapat dua fokus area yang berada dalam kategori menengah, yaitu penggunaan internet (77,73%) dan komputasi seluler (76,21%), serta satu subfokus area yaitu mengklik tautan e-mail dari pengirim yang dikenal (62,04%). Di sisi lain, hasil simulasi phishing menunjukkan success rate yang cukup tinggi untuk kedua skenario simulasi. Pada skenario simulasi pertama, diantara 30 pegawai yang membuka e-mail, 100% pegawai (30 orang) mengklik link umpan ke landing page decoy, dan 80% pegawai (24 orang) mengisikan kredensial mereka disana. Sedangkan pada skenario kedua, masih ditemukan 95,5% pegawai (21 orang) diantara 22 pegawai yang membuka e-mail, mengklik link umpan ke landing page decoy, dan 45,5% pegawai (10 orang) memasukkan kredensial mereka. Perbedaan pada hasil kuesioner dan hasil simulasi menunjukkan bahwa masih terdapat gap antara pengetahuan, sikap, dan perilaku pegawai Settama Badan XYZ. Terlihat bahwa pegawai sebenarnya telah memiliki pondasi pengetahuan dan pemahaman yang baik terkait cybersecurity/information security awareness, namun belum benar-benar termanifestasi dalam bentuk tindakan/perilaku saat di pekerjaan.