Indonesia merupakan salah satu negara dengan serangan siber yang cukup besar yang mentargetkan pemerintahan. Sedangkan pemerintahan sendiri belum memiliki alat ukur untuk mengetahui seberapa matang keamanan informasi yang dimiliki. Pengukuran kematangan keamanan dapat menggunakan standar-standar teknologi informasi yang ada, diantaranya yang sering digunakan adalah ISO 27002 dan COBIT 5.0, namun keduanya ini memiliki kekurangan. COBIT 5.0 dibangun dengan memiliki fokus kepada keamanan informasi namun pada implementasinya COBIT 5.0 lebih cenderung digunakan untuk melakukan audit dan aktivitas-aktivitasnya lebih cenderung kearah manajemen bukan teknis. Sedangkan ISO/IEC 27002:2013 merupakan standar yang khusus membahas keamanan informasi, namun penilaian yang ada didalam ISO/IEC 27002:2013 tidak memiliki standar baku sehingga tidak bisa diukur baik dengan angka ataupun di levelkan. Penelitian ini menggabungkan antara ISO/IEC 27002:2013 dan COBIT 5.0 untuk membangun perangkat ukur yang mampu mengukur tingkat kematangan keamanan internal pada instansi pemerintah. Instrumen yang dihasilkan dari penggabungan kedua standar ini berupa kuisioner. Pembentukan kuisioner dilakukan dengan cara mengubah bentuk kontrol keamanan yang ada didalam ISO/IEC 27002:2013 menjadi butir-butir pertanyaan kemudian menyetarakan penilaian dengan menggunakan skor skala nol (0) sampai lima (5). Kemudian mengindetifkasi klausa ISO/IEC 27002:2013 dan domain COBIT 5.0 untuk mengetahui klausa dan domain yang akan digunakan untuk untuk membangun perangkat ukur. Instrumen baru yang telah dihasilkan akan digunakan untuk mengukur kematangan keamanan pada instansi pemerintahan. Hasil yang diperoleh dari instrumen baru adalah 3,59 yaitu berada di level 4 atau Qualitatively Managed yang berarti proses telah diukur dan dikontrol. Kontrol keamanan telah ditetapkan untuk mengevaluasi penerapan dokumen yang telah disahkan. Level yang sama juga didapatkan pada instrumen atau kuisioner yang dibangun dengan COBIT 5 dan ISO/IEC 27002:2013, hanya berbeda nilai. COBIT 5.0 mendapatkan nilai yang paling tinggi yaitu 3,65 dan ISO 27002:2013 mendapatkan nilai 3,61.

Indonesia is one country with a large cyber attack that targets the government. While the government itself does not have a measuring tool to find out how mature information security is owned. Security maturity measurements can use existing information technology standards, including those that are often used, are ISO 27002 and COBIT 5.0, but both of these have disadvantages. COBIT 5.0 was built with a focus on information security but in its implementation COBIT 5.0 was more likely to be used to conduct audits and its activities tended towards management rather than technical. Whereas ISO / IEC 27002: 2013 is a standard specifically discussing information security, but the assessment in ISO / IEC 27002: 2013 does not have a standard so that it cannot be measured either by numbers or levels. This study combines ISO / IEC 27002: 2013 and COBIT 5.0 to build a measuring device capable of measuring the level of maturity of internal security in government agencies. The instrument produced from the merger of these two standards is in the form of a questionnaire. The formation of questionnaires was carried out by changing the form of security controls in ISO / IEC 27002: 2013 into question items and then equalizing the assessment using a scale score of zero (0) to five (5). Then identify the ISO / IEC 27002: 2013 clause and COBIT 5.0 domain to find out clauses and domains that will be used to build measuring devices. New instruments that have been produced will be used to measure security maturity in government agencies. The results obtained from the new instrument are 3.59, which is at level 4 or Qualitatively Managed, which means the process has been measured and controlled. Security controls have been established to evaluate the application of legalized documents. The same level is also found on instruments or questionnaires built with COBIT 5 and ISO / IEC 27002: 2013, only differing in value. COBIT 5.0 gets the highest value, which is 3.65 and ISO 27002: 2013 gets a value of 3.61.

Kata Kunci : ISO/IEC 27002:2013, Maturity Level, COBIT 5, Combining Model.