Hasil audit TI tahun 2016 merekomendasikan BPK RI untuk membuat kebijakan terkait keamanan data dan informasi, agar dapat menerapkan tata kelola teknologi informasi dan komunikasi (TKTIK) BPK RI. Sebagai pemeriksa pemeriksa eksternal pemerintah, BPK RI wajib untuk melaksanakan UU Nomor 15 Tahun 2006 tentang BPK. Di dalamnya menyuratkan bahwa BPK RI harus mengamankan data kertas kerja pemeriksaan (KKP) dan membatasi pemakaiannya hanya untuk keperluan pemeriksaan saja. BPK RI menggunakan Sistem Aplikasi Pemeriksaan (SiAP) untuk mendokumentasikan KKP yang sudah didapatkan dan diolah saat pemeriksaan. Karena itu, SiAP sebagai sistem elektronik strategis BPK RI harus dilengkapi dengan fasilitas yang menjamin keamanan informasinya. Hal itu sejalan dengan Permenkominfo tentang sistem manajemen pengamanan informasi. Dari kebutuhan tersebut, maka kebijakan keamanan informasi terhadap SiAP menjadi prioritas untuk dibuat terlebih dahulu sebelum dokumen dan aksi lainnya sesuai urutan tata dokumen keamanan informasi. Kebijakan keamanan informasi ini disusun dengan menggunakan ISO/IEC 27001 sebagai kerangka utama, ISO/IEC 31000 terkait konteks organisasi, dilengkapi dengan NIST SP 800-53r4 dan elemenelemen dari penelitian sebelumnya. Penelitian ini disusun mulai dari perumusan masalah, penyusunan kerangka kerja, penyusunan kebijakan penanganan risiko keamanan informasi (focus group discussion/FGD bersama pelaku TIK di BPK RI), hingga menghasilkan kebijakan keamanan informasi terhadap SiAP.