Yayasan Dana Sosial Al-Falah (YDSF) Surabaya merupakan Lembaga Amil Zakat Nasional yang sudah memanfaatkan teknologi informasi terkini. YDSF Surabaya pernah mengalami kendala di bidang keamanan IT dan keamanan aset lainnya. Berdasarkan hasil wawancara dan hasil audit yang dilakukan oleh Telkom University Surabaya menunjukkan kekurangan dan kerentanan dalam tata kelola teknologi informasi yang digunakan oleh YDSF Surabaya, dimana hasil audit dari klausul Incident Management, Asset Management, dan Policy pada YDSF Surabaya masih memiliki nilai skor dibawah rata-rata yang sesuai target standar ISO 27001: 2013. Tujuan dari penelitian ini adalah untuk mengembangkan dokumen tata kelola dari klausul Incident Management, Asset Management, dan Policy pada YDSF Surabaya yang sesuai dengan standar ISO 27001: 2013. Penelitian ini menggunakan metode kualitatif deskriptif. Penelitian dilakukan observasi dan wawancara langsung untuk memperoleh data yang diperlukan yaitu data primer berupa hasil wawancara dan data sekunder berupa dokumen yang didapat dari lembaga YDSF Surabaya. Hasil penelitian ini adalah 3 dokumen kebijakan klausul Incident Management, 2 dokumen kebijakan klausul Asset Management , 3 dokumen kebijakan klausul policy, selanjutnya 3 dokumen SOP klausul Incident Management, 2 dokumen SOP klausul Asset Management , 4 dokumen SOP klausul policy, dan 2 dokumen formulir klausul Incident Management, 1 dokumen formulir klausul Asset Management , 2 dokumen formulir klausul policy terkait tata kelola keamanan informasi yang sesuai berdasarkan standar ISO 27001: 2013 serta melakukan analisis kesenjangan dengan kondisi aktual dan menyesuaikan kebutuhan pada YDSF untuk menjaga integritas, kerahasiaan, ketersediaan informasi, dan meningkatkan kesiapan dalam menghadapi ancaman keamanan sistem informasi pada YDSF Surabaya di masa depan.
Kata Kunci: Tata Kelola Keamanan Sistem Informasi, Standar ISO 27001: 2013, Yayasan Dana Sosial Al-Falah Surabaya, Keamanan Informasi Organisasi.