Dari hasil penetration testing yang dilakukan oleh PT PQR, disimpulkan bahwa tata kelola keamanan informasi di PT XYZ belum baik dan masih berada di level 3,5 Indeks KAMI. Penelitian ini memfokuskan pada bagaimana rancangan prosedur operasional standar vulnerability management yang dapat diterapkan di PT XYZ, dengan hasil akhir berupa rancangan prosedur vulnerability management yang sesuai dengan indikator indeks KAMI dan dapat diterapkan di PT XYZ. Penelitian ini menggunakan kerangka kerja ISO 27002:2013 sebagai kerangka kerja utama untuk perancangan proses vulnerability management dan menggunakan pendekatan PDCA untuk detil dari masing-masing aktivitasnya. Metodologi penelitian yang digunakan adalah studi kasus penelitian kualitatif menggunakan hermeneutics. Hasil dan kesimpulan dari penelitian ini adalah rancangan prosedur operasional standar vulnerability management yang sesuai dengan indikator indeks KAMI. Rancangan yang telah dibuat telah divalidasi oleh kepala Divisi Infrastruktur, Operasional, dan Kepatuhan dan telah mengikuti format penyusunan Prosedur Operasional Standar Divisi Infrastruktur, Operasional, dan Kepatuhan PT XYZ.