Teknologi informasi (TI) dapat digunakan untuk mengoptimalkan proses bisnis suatu organisasi. Namun perlu diperhatikan, bahwa penggunaan TI yang tidak melalui perencanaan yang tepat dapat menimbulkan risiko. Pada saat ini PT. XYZ telah menerapkan sistem SAP untuk mendukung proses bisnisnya. Investasi PT. XYZ dalam mengimplementasikan sistem SAP diharapkan dapat memberikan keunggulan kompetitif bukan justru sebaliknya. Pada saat ini tidak ada pengelolaan terhadap keamanan sistem informasi yang berisiko dapat menghambat jalannya proses binis dan berpotensi menimbulkan kerugian. Sehingga dirasakan perlunya pengelolaan keamanan sistem informasi agar dapat menurunkan dampak kerugian yang ditimbulkan oleh risiko tersebut. Pada penelitian ini menggunakan metodologi NIST 800-30 dalam merancang manajemen risiko pada PT. XYZ. Perancangan manajemen risiko diawali dengan melakukan penilaian risiko yang kemudian dilanjutkan dengan mitigasi risiko. Pada penelitian ini ditemukan empat belas (14) risiko dalam penggunaan sistem SAP pada PT. XYZ serta dihasilkan sepuluh (10) kontrol kebijakan dan standar keamanan sistem informasi yang dapat menjadi acuan bagi PT. XYZ untuk mengelola keempat belas (14) risiko yang ada.