Pada perkembangan teknologi komputasi dan komunikasi dewasa ini, sistem informasi perusahaan hampir dapat dikatakan sangat mengandalkan dukungan teknologi informasi (TI). PT TASPEN (Persero) sebagai salah satu perusahaan BUMN Indonesia merasakan hal yang sama akan pentingnya teknologi informasi. Untuk memastikan apakah sistem informasi telah dirancang dan diterapkan sesuai dengan prosedur dan standar yang telah diterapkan, perlu dilakukan audit terhadap sistem informasi. Audit juga dilakukan untuk memastikan apakah pengendalian yang telah ada sudah memadai sesuai ISO 27001: 2013.
Jenis penelitian yang digunakan adalah deskriptif kualitatif. Tehnik pengumpulan data yang digunakan adalah wawancara, observasi, dan studi dokumentasi. Dan tehnik keabsahan menggunakan triangulasi tehnik. Setelah data di dapat, selanjutnya dilakukan analisis data dengan melakukan Gap Analysis. Dan untuk mengukur tingkat kematangan, penelitian ini menggunakan System Security Engineering Capability Maturity Model (SSECMM).
Hasil penelitian ini menunjukkan bahwa tingkat kematangan klausul Human Resource Security mencapai level level 1 (Performed Informally), klausul Access Control mencapai level 2 (planned and tracked), sedangkan klausul Physical and Environmental Security sudah mencapai level 3 (well defined).
Key word: Audit, Keamanan Sistem Informasi, ISO 27001, Maturity Level