Faktor keamanan informasi seperti confidentiality (kerahasiaan), integrity (keutuhan), dan availability (ketersediaan) merupakan suatu hal yang harus diperhatikan dalam didalam penerapan suatu sistem atau aplikasi komputer. Tingginya ancaman penyerangan terhadap aplikasi web dapat diselesaikan dengan mengikuti framework pengujian keamanan yang sudah terstandarisasi secara global. Universitas Islam Negeri (UIN) Syarif Hidayatullah Jakarta membuat salah satu sistem informasi akademik bernamakan AIS UIN JKT. AIS UIN JKT menyimpan banyak sekali data/informasi yang penting dan sangat berpengaruh terhadap kegiatan akademik UIN JKT, karena itulah ketiga faktor keamanan informasi sebelumnya perlu diperhatikan dengan teliti. Peneliti menggunakan OWASP WSTG versi 4.0 sebagai pedoman lengkap cara mengevaluasi keamanan informasi berdasarkan metode penetration testing sedangkan framework PTES digunakan sebagai framework pelengkap OWASP WSTG versi 4.0 dalam faktor rekomendasi tools evaluasi tambahan. Peneliti melakukan pengukuran dampak risiko dari (dampak teknis dan dampak bisnis) celah keamanan yang ditemukan menggunakan metodologi OWASP Risk Rating. Hasil penelitian evaluasi keamanan terhadap AIS UIN JKT berupa daftar, detail penjelasan celah keamanan yang ditemukan, tahapan yang dilakukan untuk menemukan celah keamanan, saran perbaikan, serta tingkat risiko yang diharapkan dapat menjadi acuan didalam tahapan perbaikan nantinya. Hasil evaluasi menunjukkan bahwa AIS UIN JKT berada pada keadaan tidak aman serta dapat dieksploitasi dengan merubah data/informasi yang ada didalamnya, AIS UIN JKT juga berada pada tingkat risiko celah keamanan kritis berdasarkan OWASP Risk Rating. Celah keamanan tingkat kritis ini berakibat pada rusaknya sebagian besar kerahasiaan dan keutuhan informasi yang ada didalam AIS UIN JKT. Peneliti menyarankan pustipanda untuk menerapkan sistem pengecekan hak akses pengguna yang ketat pada setiap fitur AIS UIN JKT, apakah fitur tersebut memang boleh diakses atau tidak, dengan melakukan pengecekan identitas pengguna terlebih dahulu sebelum disediakan ke pengguna.
Kata Kunci: Academic Information System, Evaluasi Keamanan, OWASP versi 4.0,
PTES, OWASP Risk Rating.