Penerapan Teknologi Informasi (TI) seringkali menimbulkan risiko, seperti salah proses dari aplikasi, pencurian data serta kerusakan data. Dengan semakin besarnya risiko, maka diperlukan pengendalian (kontrol) yang semakin besar pula. Untuk itu perlu dilihat apakah sistem yang berjalan sudah dilengkapi dengan kontrol yang memadai. Badan Pengelola Pendapatan Daerah (BAPENDA) Provinsi Jawa Tengah telah memanfaatkan TI dalam aktivitasnya. Tidak adanya standar keamanan informasi yang memadai, memiliki dampak pada data atau informasi yang kurang terjaga, baik dari sisi kerahasiaan (Confidentially), integritas (Integrity) dan ketersesiaan (Availability). Penelitian ini bertujuan untuk mengukur kematangan risiko Keamanan Informasi (KAMI), seperti melakukan asesmen TI yang di kelola BAPENDA, seperti aplikasi layanan pembayaran pajak kendaraan bermotor, Android (New Sakpole) termasuk infrastruktur TI. Hasil dari Maturity Level KAMI di BAPENDA pada klausul kebijakan keamanan sebesar 0.76, organisasi KAMI 1.24, klasfikasi aset kontrol 0.63, keamanan personel 1.12, manajemen insiden KAMI 1,21, manajemen berlanjutan bisnis 0.51, keamanan fisik dan lingkungan 1.61, pengembangan sistem dan pemeliharaan 2,94, kontrol akses 4,18, manajemen komunikasi dan operasi 4.58 dan, kepatuhan 2.07. Pemetaan identifikasi aset dengan NIST-CSF diperoleh beberapa Aset antara lain Aset Informasi dan data, Aset Pegawai, Aset Hardware dan Aset Software. Hasil yang diperoleh bahwa Aset di BAPENDA memiliki risiko tinggi (High) Risk Avoidance sehingga memerlukan mitigasi dengan menggunakan kontrol NIST dan Annex ISO-IEC 27001:2013.