Pemasok adalah pihak di luar perusahaan baik individu maupun organisasi yang berhubungan atau bekerja bersama-sama dengan perusahaan, yang meliputi tetapi tidak terbatas pada vendor, supplier, konsultan, kontraktor, mitra, dan lainnya. Hubungan kerja sama yang terjalin antara perusahaan dengan pemasok merupakan salah satu perwujudan strategi sumber daya untuk tetap produktif dan kompetitif menjawab tantangan bisnis saat ini. Tanpa dukungan dari pemasok, terdapat kesenjangan pengetahuan dan/atau sumber daya khusus yang perlu diupayakan pemenuhannya oleh perusahaan baik dengan meningkatkan biaya atau menurunkan pendapatan. Pendekatan ini tidak layak secara finansial dan/atau berkelanjutan dalam jangka panjang sehingga perusahaan (terlepas dari ukuran dan industrinya) mempercayai pemasok untuk memenuhi kebutuhan bisnis tersebut. PT XYZ merupakan salah satu perusahaan penyelenggara infrastruktur sistem pembayaran (PIP) non-bank di Indonesia yang dikategorikan sebagai salah satu PIP yang berdampak sistemik oleh Bank Indonesia. Dengan terbitnya Blueprint Sistem Pembayaran Indonesia 2025 (BSPI 2025), Bank Indonesia mendorong penyelenggara sistem pembayaran berhati-hati dalam menjalankan layanannya dengan memperhatikan kesiapan dukungan dari sumber daya internal maupun sumber daya yang disediakan oleh eksternal. PT XYZ berkomitmen untuk terus berupaya melakukan pemantauan kesiapan dukungan dan audit secara berkala kepada pemasok dengan kategori kritikal. Pelaksanaan audit ini diharapkan dapat membantu bisnis melakukan mitigasi risiko kepatuhan pemasok terutama pada persyaratan keamanan informasi. Metode penilaian kritikalitas dan daftar periksa audit keamanan informasi pemasok ditentukan oleh kriteria framework/standar audit yang berlaku umum dan digunakan di industri sistem pembayaran. Metode yang digunakan untuk menetapkan kertas kerja audit sistem informasi pemasok PT XYZ menggunakan pengolahan data kualitatif dengan validasi akhir dari tenaga ahli yang telah dipilih sesuai dengan keahlian bidangnya. Penelitian ini menghasilkan 90 (sembilan puluh) kriteria penilaian dalam daftar periksa keamanan informasi yang terbagi dalam 8 (delapan) tahap assurance for engagement yang dapat menjadi panduan bagi perusahaan dalam mengidentifikasi pemasok kritikal sehingga risiko terjadinya insiden yang mungkin disebabkan oleh pemasok dapat dideteksi dan/atau mencegah melalui proses penjaminan/assurance yang memadai.