Pemerintah Kota Yogyakarta sudah memiliki Sistem Informasi (SI) yang didukung oleh Peraturan Walikota Yogyakarta Nomor 78 Tahun 2007 tentang Standar Operasional dan Prosedur Manajemen Pengamanan Sistem Informasi dan Komunikasi pada Pemerintah Kota Yogyakarta. Peraturan Walikota ini ditetapkan untuk dijadikan pedoman dan acuan dalam mengelola dan menggunakan perangkat dan sistem yang terkait dengan teknologi informasi dan komunikasi di lingkungan Pemerintah Kota Yogyakarta. Selama ini Pemerintah Kota Yogyakarta belum pernah melaksanakan audit terhadap Keamanan Sistem Informasi. Penelitian ini akan melakukan audit keamanan sistem informasi pada Pemerintah Kota Yogyakarta menggunakan Control Objective for Information and Related Technology 5 (COBIT 5) untuk Keamanan Informasi. Pemilihan proses diukur melalui pemetaan tujuan kaskade menghasilkan lima (5) proses dalam COBIT 5. Responden berjumlah sembilan (9) orang pegawai yang berperan dan bertanggung jawab langsung terhadap pengelolaan sistem informasi. Hasil pengukuran nilai kapabilitas keamanan SI di Pemerintah Kota Yogyakarta dari lima (5) proses, semua proses berada pada tingkat kapabilitas 1 Proses Dilaksanakan (Performed Process) dengan rincian sebagai berikut; empat (4) proses berada pada kategori P (Partially Achieved), yaitu proses EDM03 Mengelola Optimasi Risiko, APO12 Mengelola Risiko, APO13 Mengelola Keamanan dan BAI06 Mengelola Perubahan dan satu (1) proses berada pada kategori L (Largely Achieved), yaitu proses DSS05 Mengelola Layanan Keamanan.

Yogyakarta Municipality already has an information system (SI) that is supported by Mayor Regulation Number 78 Year 2007 about the standards operational and procedures for the management of information and communication systems security. The Mayor's regulation was enacted to provide guidelines and reference in managing and using devices and systems related to information and communication technologies on the office of Yogyakarta Municipality. During this time Yogyakarta Municipality has never perform an information systems security audit. This research will conduct a security audit of information systems in the Municipality of Yogyakarta using the Control Objectives for Information and Related Technology 5 (COBIT 5) for Information Security. Selection process is measured by mapping cascade goals produces five (5) processes in COBIT 5. Respondents consisted of nine (9) employees who contribute directly responsible for the management of information systems. The measurement results of the capability level in Yogyakarta Municipality are all of five (5) processes are at level capability 1 Performed Process. Four (4) processes are at Partially Achieved (P) category; EDM03 Ensure Risk Optimisation, APO12 Manage Risk, APO13 Manage Security, and BAI06 Manage Changes. One (1) process at Largely Achieved (L) category, DSS05 Manage Security Services.

Kata Kunci : audit, COBIT 5, kapabilitas, keamanan, sistem informasi/audit, capability, COBIT 5, information system, security