Tedarikçi Denetimi ve Tedarikçi Risk Yönetimi (TPRM)

%60 Veri ihlalleri tedarikçi kaynaklı
3.9M$ Tedarikçi ihlali başına ortalama maliyet
210 Gün Tedarik zinciri ihlali tespit süresi
%73 Kurumların denetimsiz tedarikçi riski taşıdığı oran
Neden Zorunlu?

Tedarikçi Riski Artık
Kurumsal Risk Demek

KVKK, GDPR, NIS2, BDDK ve DDO Bilgi Güvenliği Rehberi; tedarikçinizin güvenlik açıklarından doğan sonuçların yasal ve mali sorumluluğunu doğrudan veri sorumlusuna —yani size— yüklüyor. “Benim tedarikçim ihlal oldu” artık bir mazeret değil, bir risk yönetimi başarısızlığı olarak değerlendiriliyor.

Müteselsil Yasal Sorumluluk

KVKK madde 12, GDPR madde 28 ve NIS2 Direktifi; veri işleyen tedarikçilerden kaynaklanan ihlaller için asıl veri sorumlusunu para cezası, hukuki yaptırım ve tazminat yükümlülüğüyle muhatap kılıyor. Tedarikçinizin hatası, sizin cezanız olabilir.

KVKK · GDPR · NIS2

Operasyonel Süreklilik

Kritik bir tedarikçinin fidye yazılımı saldırısına uğraması; üretim durmasına, teslimat gecikmesine ve hizmet kesintisine doğrudan yol açabilir. TPRM, iş sürekliliği planlarınızın en güçlü sigortasıdır.

İş Sürekliliği

İtibar ve Paydaş Güveni

Müşterileriniz verilerini size emanet ederken, bu verilerin üçüncü tarafların elinde de korunacağına güveniyor. Tedarikçi kaynaklı bir veri sızıntısı, marka değerinizi kalıcı olarak zedeler.

Marka Değeri

Tedarikçi Eko-Sistemi Görünürlüğü

Birçok kurum, tedarikçilerinin hangi veri ve sistemlere eriştiğini tam olarak bilmiyor. TPRM, bu “kör noktaları” haritalandırarak yönetilebilir riske dönüştürür.

Risk Görünürlüğü

4. Taraf Bağımlılıkları

Tedarikçilerinizin tedarikçileri de riskinizin bir parçası. Tedarik zinciri saldırıları (SolarWinds, MOVEit gibi) doğrudan sizin sistemlerinizi etkileyebilir.

Tedarik Zinciri Saldırıları

BDDK & DDO Uyumu

Bankacılık ve finans sektöründe BDDK, kritik hizmet aldığı tedarikçileri denetleme yükümlülüğünü bankalara bırakıyor. DDO BİGR ise kamu kurumları için benzer gereklilikleri tanımlıyor.

BDDK · DDO BİGR
Süreç Haritası

5 Aşamalı TPRM
Yaşam Döngüsü

ISO 27036 ve NIST SP 800-161 çerçevelerini temel alan, kurumunuzun olgunluk seviyesine göre ölçeklenen bütüncül tedarikçi risk yönetimi süreci.

TPRM Yaşam Döngüsü
ISO 27036 · NIST SP 800-161 · DDO BİGR Uyumlu
AŞAMA 01
Tanımlama & Sınıflandırma
  • Tedarikçi envanteri
  • Kritiklik analizi
  • Veri erişim sınıfı
  • Önceliklendirme
AŞAMA 02
Risk Değerlendirmesi
  • Güvenlik anketi
  • OSINT taraması
  • Kanıt doğrulama
  • Risk puanlaması
AŞAMA 03
Sözleşme & Uyum
  • Güvenlik SLA’ları
  • KVKK/GDPR maddeleri
  • DPA anlaşmaları
  • Denetim hakkı
AŞAMA 04
Sürekli İzleme
  • Sürekli OSINT
  • Periyodik denetim
  • Olay bildirimi
  • Skor güncellemeleri
AŞAMA 05
Kapatma & Offboarding
  • Erişim iptali
  • Veri imhası
  • Kapatış denetimi
  • Dokümantasyon
Kapsam Haritası

Değerlendirdiğimiz
6 Tedarikçi Risk Kategorisi

Tedarikçi güvenliği yalnızca teknik denetimden ibaret değildir. Bütüncül TPRM yaklaşımımız; siber, hukuki, operasyonel, coğrafi ve itibar risklerini tek bir çerçevede değerlendirir.

Siber Güvenlik Riski

Güvenlik olgunluk seviyesi, yama yönetimi, saldırı yüzeyi ve açık kaynak bileşen değerlendirmesi.

Uyumluluk & Hukuki Risk

KVKK, GDPR, ISO 27001 uyumu ve sözleşmesel güvenlik yükümlülükleri.

Tedarik Zinciri Riski

4. taraf bağımlılıkları, yazılım bileşenleri ve alt yüklenici güvenlik duruşu (SBOM analizi).

Operasyonel Risk

İş süreklilik kapasitesi, felaket kurtarma, servis kesintisi olasılığı ve bağımlılık analizi.

Coğrafi & Politik Risk

Tedarikçi bölgesi, yasal yargı alanı ve jeopolitik istikrar faktörleri.

İtibar & Finansal Risk

Finansal sağlık, geçmiş ihlaller ve sektördeki güvenilirlik skoru.

Hizmet Paketleri

Risk Odaklı, Katmanlı
Güvence Modeli

“Tek tip denetim” anlayışını reddediyoruz. Tedarikçinin iş kritikliği, veri erişim seviyesi ve operasyonel bağımlılığına göre üç farklı paketten kurumunuza özel model tasarlıyoruz. Temel çerçevemiz: NIST SP 800-161 & ISO 27036.

Paket 1 — Giriş Seviyesi
Quick Check
Hızlı Tarama & Onboarding Kontrolü
🎯 Düşük – Orta Riskli Tedarikçiler
Kapsam
  • Temel güvenlik hijyeni kontrolü
  • Yönetişim & erişim yönetimi
  • Veri koruma ve yasal uyum
  • OSINT destekli dış görünüm taraması
Teslimatlar
  • Supplier Security Scorecard (trafik lambası)
  • Yönetici Özeti
  • Karar Önerisi: Kabul / Şartlı / Red
Minimum kaynak kullanımıyla maksimum erken uyarı — tedarikçi kabul sürecini hızlandırır.
Paket 2 — En Çok Tercih Edilen
Advanced Check
Derinlemesine Teknik & Süreç Denetimi
🔒 Hassas Veri / Kritik Tedarikçiler
Kapsam
  • Genişletilmiş kontrol seti (KVKK/GDPR, IAM, loglama)
  • Yedekleme & iş sürekliliği değerlendirmesi
  • Tehdit istihbaratı entegrasyonu
  • Opsiyonel: dışa açık varlık taraması, sınırlı pentest
Teslimatlar
  • Ayrıntılı Bulgular Raporu
  • Supplier Security Scorecard
  • Yönetici Özeti
  • 30/60/90 Günlük İyileştirme Planı
Riskin gerçek boyutunu ortaya koyar — sözleşme öncesi karar ve müzakere gücünü artırır.
Paket 3 — Premium
Continuous Check
Sürekli İzleme & Dinamik Risk Yönetimi
📈 Yüksek Riskli / Sürekli Bağımlı İş Ortakları
Kapsam
  • Tüm kritik tedarikçiler için periyodik yeniden değerlendirme
  • Otomatik skor güncellemeleri
  • Tehdit istihbaratı beslemesi
  • Bulgu kapanış takibi & yönetim raporlaması
Teslimatlar
  • Aylık Yönetici Rapor Paketi (trend, ısı haritası)
  • Periyodik Yeniden Değerlendirme Raporları
  • Risk Görselleştirme Dashboard
  • Yönetim Toplantısı Desteği
Riski “anlık fotoğraf” olmaktan çıkarıp “canlı izleme” haline getirir.
Bizi Farklı Kılan

Neden Secure Fors?

Kökenimiz ofansif siber güvenlik (red team, pentest). Bu nedenle tedarikçi denetimlerimiz “politika belgesi var mı?” sorusunun çok ötesine geçer.

Gerçek Risk, Gerçek Soru

“Politika belgesi var mı?” yerine “bu politika sahada uygulanıyor mu, saldırıya karşı gerçekten etkili mi?” sorusunu sorarız.

Çözüm Odaklı Rehberlik

Bulguları raporlamakla kalmayız; tedarikçi ekiplerine teknik iyileştirme desteği sağlar, toplam ekosistem güvenlik olgunluğunu yükseltiriz.

Sürekli Sahiplenme

Denetim tamamlandığında süreç bitmez. Bulguların kapanışını takip eder, risk kabul edilebilir seviyeye inene kadar yönetiriz.

Sektörel Deneyim

THY tedarikçi ekosisteminde TPRM denetimleri dahil havacılık, bankacılık, enerji ve telekomünikasyon sektörlerinde fiili saha deneyimi.

Çerçeve Uyumu

NIST SP 800-161, ISO 27036, DDO BİGR ve BDDK gereklilikleriyle tam uyumlu metodoloji. Regülatif denetimlerde somut kanıt.

Yerel Regülasyon Uzmanlığı

KVKK, BDDK, EPDK, SOME yükümlülükleri ve DDO rehberinde güncel saha bilgisi. Uluslararası çerçeveleri Türkiye gerçeğine uyarlıyoruz.

Metodoloji Temeli

Referans Alınan
Standartlar & Çerçeveler

Denetim süreçlerimiz subjektif değerlendirmelerden uzak; küresel ve ulusal otoritelerin kabul ettiği çerçevelere dayanır. Bu; bulgularımızın regülatif denetimlerde somut kanıt olarak kullanılabilmesi anlamına gelir.

📘 ISO/IEC 27001:2022 🔗 ISO/IEC 27036 – Tedarikçi İlişkileri 🇺🇸 NIST SP 800-161r1 🇪🇺 NIS2 Direktifi 🇹🇷 DDO BİGR Rehberi ⚖️ KVKK & GDPR 🏦 BDDK Yönetmelikleri 🌐 DORA (AB Finans)
Güven İnşa Ettik

Referanslarımız

Türkiye’nin önde gelen kurumlarına güvenlik danışmanlığı sağlıyoruz.

Öne Çıkan Referans
Türk Hava Yolları (THY) — TPRM Denetimleri
Secure Fors, Türk Hava Yolları’nın tedarikçi ekosisteminde güvenlik denetimleri yürütmektedir. Havacılık sektörünün karmaşık tedarik zinciri yapısında edindiğimiz bu deneyim, metodolojimizi ve raporlama kalitesini en üst düzeye taşımaktadır.
Türk Hava Yolları Havacılık
TCDD Teknik Ulaşım
ABB Bank Bankacılık
Mitas Sanayi
Orka Holding Holding
Yeditepe Üniversitesi Eğitim
Kiwa Türkiye Sertifikasyon
GTech Teknoloji
Doğruer Gıda
Sarnikon Tarım
Harekete Geçin

Tedarikçi Ekosisteminizin
Risk Profilini Bilin

Kaç tedarikçinize hassas veriye erişim verdiniz? Hangilerini hiç denetlemediniz? Uzman ekibimizle ücretsiz bir ön değerlendirme görüşmesi yapın — sizi yükümlü kılan boşlukları birlikte tespit edelim.

Taahhüt yok · Gizlilik politikası uygulanır · 1–2 iş günü içinde dönüş

Metodolojimiz: ISO 27001:2022 ve DDO BİGR Uyumlu TPRM Çerçevesi

Secure Fors’un TPRM metodolojisi, uluslararası ve ulusal otoritelerin belirlediği çerçevelerin saha deneyimiyle harmanlanan pratik bir uygulamasıdır. ISO/IEC 27001:2022 standardının A.5.19–A.5.23 kontrolleri, tedarikçi ilişkilerinde bilgi güvenliğinin nasıl sağlanacağını açıkça tanımlamaktadır: tedarikçilere verilen erişimler belgelenmeli, güvenlik gereklilikleri sözleşmelere yansıtılmalı ve tedarikçi performansı periyodik olarak izlenmelidir. DDO Bilgi ve İletişim Güvenliği Rehberi (BİGR) ise bu yükümlülükleri kamu kurumları ve kritik altyapı işleticileri için özelleştirerek, üçüncü taraf hizmet alımlarında uygulanacak güvenlik gerekliliklerini somutlaştırmaktadır.

Metodolojimiz üç temel ilkeye dayanır. Birincisi risk-temelli önceliklendirme: Her tedarikçiyi aynı yoğunlukta denetlemek hem verimsiz hem de sürdürülemezdir. Tedarikçinin eriştiği veri sınıfı, iş süreçlerine kritikliği ve olası bir ihlalden kaynaklanabilecek hasar büyüklüğüne göre üç kademe oluşturuyoruz: yüksek, orta ve düşük risk. İkincisi kanıt temelli değerlendirme: “Politika belgesi var mı?” sorusunun ötesine geçerek politikaların sahada uygulandığını doğrulayan teknik kanıtlar talep ediyoruz — log kayıtları, erişim denetimleri, güvenlik yapılandırma raporları. Üçüncüsü sürekli izleme: TPRM bir anlık fotoğraf değil, canlı bir süreçtir. Tedarikçi güvenlik duruşu değiştiğinde sistemimiz bunu tespit eder ve ilgili yöneticilere bildirir.

ISO 27001:2022’nin tedarik zincirine ayırdığı beş kontrol birbirini tamamlar: A.5.19 tedarikçi envanteri ve erişim yönetimini zorunlu kılarken, A.5.20 güvenlik gerekliliklerinin sözleşmelere yansıtılmasını, A.5.21 yazılım ve donanım tedarik zincirinin bütüncül değerlendirilmesini, A.5.22 tedarikçi performansının periyodik gözden geçirilmesini ve A.5.23 bulut hizmetlerine özgü güvenlik yönetimini düzenler. Secure Fors denetimleri bu kontrollerin her birini ayrı ayrı değerlendirir; raporlarımız ISO 27001:2022 denetçilerinin beklediği somut kanıt formatında hazırlanır.

Sektörel Uzmanlık: Finans ve Havacılıkta TPRM

🏦 Finans Sektörü: BDDK ve DORA Uyumlu TPRM

Bankacılık ve finans sektöründe tedarikçi riski yönetimi, BDDK’nın “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği” kapsamında yasal bir zorunluluktur. Bu yönetmelik, bankaların kritik hizmet aldığı tedarikçileri bizzat denetleme yükümlülüğünü açıkça düzenlemektedir. Dışarıdan alınan BT hizmetleri, ödeme altyapıları, veri merkezi hizmetleri ve bulut çözümleri bu kapsama girmektedir. Tedarikçinin bir ihlalden etkilenmesi durumunda sorumluluk, doğrudan bankaya yüklenmektedir.

Finans sektöründe TPRM denetimlerinin temel odak noktaları şunlardır: Tedarikçinin veri merkezlerinin fiziksel ve mantıksal güvenliği; kullanıcı erişim yönetimi ve ayrıcalıklı hesap kontrolü; iş sürekliliği ve felaket kurtarma kapasitesi; müşteri verilerinin yurt dışına transferi ve bulut lokasyonu gereklilikleri; PCI-DSS uyumu ve ödeme verisi güvenliği. AB’de yürürlüğe giren DORA (Dijital Operasyonel Dayanıklılık Yasası) ise Türk finans kurumlarının AB ile iş ilişkisi içinde olduğu ölçüde dolaylı yükümlülükler getirmekte; üçüncü taraf BİT hizmeti sağlayıcılarının sözleşmesel olarak denetlenebilir kılınmasını şart koşmaktadır.

Secure Fors, ABB Bank dahil finans sektöründe TPRM denetimleri yürütmektedir. Finans sektörüne özel metodolojimiz; BDDK yönetmeliği gerekliliklerini, DORA teknik standartlarını ve ISO 27001:2022 kontrollerini tek bir değerlendirme çerçevesinde birleştirmektedir.

✈️ Havacılık Sektörü: Karmaşık Tedarik Zincirlerinde TPRM

Havacılık sektörü, tedarik zinciri güvenliği açısından en karmaşık ortamlardan birini oluşturur. Bir havayolu şirketinin operasyonları; yer hizmetleri, bakım-onarım firmaları, yakıt tedarikçileri, catering şirketleri, BİT altyapı sağlayıcıları, rezervasyon sistemleri ve çok sayıda alt yüklenicinin birbirine bağlı olduğu devasa bir ekosisteme dayanır. Bu ekosistemdeki tek bir zayıf halka, tüm operasyonel sürekliliği tehdit edebilir.

Türk Hava Yolları (THY) tedarikçi ekosisteminde yürüttüğümüz TPRM denetimleri, havacılık sektörünün kendine özgü zorluklarını bizzat deneyimlememizi sağlamıştır. Havacılıkta TPRM’nin kritik boyutları şunlardır: Uçuş operasyonlarını destekleyen sistemlere erişen tedarikçilerin güvenlik sertifikasyon durumu; yolcu ve çalışan kişisel verilerini işleyen alt işlemcilerin KVKK ve GDPR uyumu; bakım kayıtları ile teknik veri sistemlerinin güvenliği; bağlantı noktalarındaki üçüncü taraf BİT entegrasyonlarının güvenlik mimarisi; tedarikçi personelinin bilinçlendirme düzeyi ve sosyal mühendislik direnci.

Havacılık denetimlerinde IATA siber güvenlik çerçevesi ve ICAO standartları ile uyum değerlendirmesi de gerçekleştiriyoruz. Ulaşım sektöründeki diğer referansımız TCDD Teknik, demiryolu altyapı güvenliği konusundaki saha deneyimimizi pekiştirmektedir.

Adım Adım TPRM Denetim Süreci: Nasıl Çalışıyoruz?

Bir TPRM projesi başladığında kurumunuzda ne olur? Hangi belgeler talep edilir? Kimlerle görüşülür? Sonunda ne alırsınız? Denetim sürecimizi adım adım şeffaf biçimde açıklıyoruz.

Adım 1 — Kapsam Belirleme ve Tedarikçi Envanteri (1–3 Gün)

İlk aşamada kurumunuzun tedarikçi portföyünü birlikte haritalandırıyoruz. Hangi tedarikçiler hangi veri ve sistemlere erişiyor? Hangileri kritik iş süreçlerine doğrudan bağlı? Bu soruları yanıtlamak için mevcut sözleşme listelerinizi, ERP sistemlerinizdeki tedarikçi kayıtlarını ve BT ekibinizin erişim loglarını inceliyoruz. DDO BİGR Rehberi’nin kritiklik sınıflandırması çerçevesinde her tedarikçiye bir öncelik puanı atıyoruz. ISO 27001:2022 A.5.19 kontrolü kapsamında tedarikçi varlık envanteri oluşturulması zorunlu olduğundan, bu aşamada üretilen belge aynı zamanda sertifikasyon hazırlığınıza da katkı sağlar.

Adım 2 — Güvenlik Anketi ve Ön Değerlendirme (3–7 Gün)

Öncelikli tedarikçilere özelleştirilmiş bir güvenlik anketi gönderiyoruz. Bu anket; yönetişim ve organizasyon yapısı, erişim kontrolü, şifreleme ve veri koruma, log yönetimi, olay müdahale kapasitesi, iş sürekliliği ve alt yüklenici yönetimi başlıklarını kapsıyor. Anket sonuçlarını beklerken OSINT yöntemleriyle tedarikçinin dışa açık saldırı yüzeyini tarayıyoruz: açık portlar, yama uygulanmamış sistemler, darkweb ihlal verileri, SSL sertifika durumu ve DNS yapılandırması. Bu çift taraflı yaklaşım — öz beyan ve bağımsız teknik tarama — değerlendirmemize güvenilirlik katıyor.

Adım 3 — Kanıt Toplama ve Saha Doğrulama (5–10 Gün)

Anket yanıtlarını kabul etmekle yetinmiyoruz. Her iddiayı destekleyen somut kanıt talep ediyoruz: ISO 27001 sertifikası (güncel ve akredite mi?), penetrasyon testi raporları (son 12 ay içinde mi, bulgular kapatılmış mı?), erişim denetim raporları, felaket kurtarma test sonuçları ve personel eğitim kayıtları. Yüksek riskli tedarikçiler için mümkünse yerinde saha ziyareti gerçekleştiriyoruz. ISO/IEC 27036 standardının tanımladığı tedarikçi durum tespiti metodolojisini uyguluyoruz; her bulgu ISO 27001:2022 ve DDO BİGR kontrol maddeleriyle ilişkilendirilmiş şekilde kayıt altına alınıyor.

Adım 4 — Risk Puanlama ve Raporlama (2–5 Gün)

Toplanan tüm veriler, NIST SP 800-161r1 çerçevesindeki risk puanlama matrisimize işleniyor. Her tedarikçi için hesaplanan risk skoru; olasılık (güvenlik açığının istismar edilme ihtimali) ve etki (ihlal gerçekleştiğinde kurumunuza vereceği zarar) çarpımına dayanıyor. Sonuçları iki ayrı rapor formatında sunuyoruz: karar vericilere yönelik Yönetici Özeti ve güvenlik ekiplerine yönelik Teknik Bulgular Raporu. Her bulgu için DDO BİGR ve ISO 27001:2022 kontrol referansları açıkça belirtiliyor; raporlarımız hem teknik hem de uyum (compliance) perspektifinden kullanılabilir oluyor.

Adım 5 — İyileştirme Takibi ve Sürekli İzleme

Raporun teslimi denetimin sonu değildir. Tedarikçiyle birlikte 30/60/90 günlük iyileştirme planı oluşturuyoruz. Kritik bulgular için düzeltici eylem takibini üstleniyoruz. Advanced Check ve Continuous Check paketlerinde tedarikçinin OSINT profili sürekli izleniyor; yeni bir güvenlik açığı ortaya çıktığında veya tedarikçi bir güvenlik olayı yaşadığında sizi proaktif olarak bilgilendiriyoruz. ISO 27001:2022 A.5.22 kontrolünün gerektirdiği tedarikçi hizmetlerinin periyodik gözden geçirilmesi yükümlülüğünü bu sürekli izleme hizmeti karşılıyor.

DDO BİGR ve ISO 27001:2022: Regülatif Yükümlülükleriniz

DDO Bilgi ve İletişim Güvenliği Rehberi (BİGR), kamu kurumları ve kritik altyapı işleticileri için tedarikçi güvenliğini ayrı bir yönetim alanı olarak tanımlamaktadır. Sözleşmelere güvenlik maddelerinin eklenmesi, tedarikçi personelinin güvenlik farkındalığının belgelenmesi ve tedarikçi sistemlerine verilen erişimlerin denetlenmesi zorunlu tutulmaktadır.

ISO 27001:2022 Tedarikçi Kontrolleri

  • A.5.19 — Tedarikçi ilişkilerinde bilgi güvenliği
  • A.5.20 — Tedarikçi anlaşmalarında güvenlik gereklilikleri
  • A.5.21 — BİT tedarik zinciri güvenliği
  • A.5.22 — Tedarikçi hizmetlerinin izlenmesi ve değişiklik yönetimi
  • A.5.23 — Bulut hizmetleri bilgi güvenliği

DDO BİGR Tedarik Zinciri Gereklilikleri

  • Tedarikçi sözleşmelerinde güvenlik maddeleri
  • Kritiklik bazlı tedarikçi sınıflandırması
  • Tedarikçi personeli güvenlik farkındalığı
  • Erişim ve yetki yönetimi denetimi
  • Tedarikçi olay bildirim yükümlülükleri