TPRM · Tedarikçi Risk Ynetimi
Tedarikçi Security Anketi Nasıl Hazırlanır? Turkish Şablon ve 30 Örnek Soru
ISO 27001, KVKK ve sektr en iyi pratiklerine uyumlu, kullanıma hazır tedarikçi security değerlendirme anketi rehberi.
%59
Şirketlerin tedarikçi security anketini düzensiz veya hiç gndermediği oran
Ponemon Institute, 2024
4,2 ay
Tedarikçi kaynaklı bir ihlalin tespit edilmesi için geçen ortalama süre
IBM Cost of Data Breach, 2024
%73
İyi hazırlanmış ankete tedarikçilerin yanıt verme oranı
Prevalent TPRM Report, 2024
3,4x
Düzenli tedarikçi değerlendirmesi yapan firmaların ihlal etkisini azaltma oranı
Gartner, 2023
Tedarikçi Security Anketi Neden Kritik?
Tedarikçi security anketi; bir tedarikçinin bilgi güvenliği olgunluğunu, veri koruma pratiklerini ve operasyonel dayanıklılığını sistematik ve lçülebilir biçimde değerlendirmenizi sağlayan yapılandırılmış bir araçtır.Bu araç olmadan risk ynetimi büyük lçüde sezgiye dayanır: “Tanınan bir firma, sorun çıkarmaz” ya da “ISO 27001 belgesi var, yeterlidir” gibi kestirme kabuller devreye girer. Oysa bir ISO 27001 belgesi tedarikçinin belgeleme sistemini evidencelar — o anki security durumunu değil.ISO 27001 Belgesi Tek Başına Yeterli Değildir
Tedarikçi ISO 27001 belgeli olabilir ama son altı ayda hiç security eğitimi vermemiş, yaması uygulanmamış sunucular çalıştırıyor ve employee erişimlerini offboarding sırasında kapatmıyor olabilir. Belge periyodik bir anlık grüntü alır; anket ise bugünkü durumu sorar.Hukuki Boyut: KVKK ve ISO 27001 Sizi Mecbur Kılıyor
Tedarikçi security anketini gndermek bir iyiniyet gstergesi değil, yasal yükümlülük. KVKK’nın 12. maddesi, veri sorumlusunun kişisel verileri işleyen veri işleyenlerin yeterli security tedbirlerini aldığını doğrulamasını zorunlu kılıyor. Bu doğrulamayı belgeleyen en pratik yntem: security anketi. ISO 27001:2022’nin Ek A 5.19–5.22 kontrolleri de tedarikçi security gerekliliklerinin değerlendirilmesini ve izlenmesini açıkça şart koşuyor.“Veri sorumlusu, veri işleyenin gerekli security tedbirlerini aldığını teyit etmekle yükümlüdür. Bu yükümlülük; szleşme maddesi, denetim hakkı ve periyodik değerlendirme mekanizmaları aracılığıyla yerine getirilebilir.”
Herkese Aynı Anketi Sendmeyin
En yaygın TPRM hatalarından biri, tüm tedarikçilere aynı 80 soruluk anketi gndermek. Sonuç: low riskli temizlik şirketi de, kritik bulut altyapısı sağlayıcısı da aynı formu dolduruyor. Biri için aşırı yük, diğeri için yetersiz derinlik. Doğru yaklaşım, tedarikçi kritiklik seviyesine gre soru setini lçeklendirmektir:Tedarikçi Kritiklik Seviyesine Gre Anket Derinliği
KRİTİK
Tier 1 — Kritik Veri / Sistem Erişimi
Bulut altyapısı, temel yazılım tedarikçileri, kişisel veri işleyenler, temel ERP/CRM entegrasyonları
60–80 soru + yerinde denetim
YÜKSEK
Tier 2 — Sınırlı Sistem Erişimi
BT destek firmaları, yazılım geliştiriciler, SaaS uygulamaları, ynetilen security hizmetleri
30–40 soru + belge talebi
ORTA
Tier 3 — Dolaylı Erişim / Düşük Veri
Pazarlama ajansları, eğitim firmaları, genel iş danışmanları
15–20 soru (self-assessment)
DÜŞÜK
Tier 4 — BT Erişimi Yok
Ofis malzemeleri, temizlik, kargo, kırtasiye tedarikçileri
Standart szleşme maddesi
Anket Nasıl Hazırlanır? 5 Aşamalı Durationç
Tedarikçi Security Anketi Hazırlama ve Valuelendirme Durationci
1
Tedarikçiyi Sınıflandır
Kritiklik seviyesi, erişim türü ve veri hassasiyetini belirle
2
Soru Setini Seç
Kritiklik seviyesine gre uygun kategorileri belirle
3
Send ve Takip Et
10–15 iş günü süre tanı, hatırlatma mekanizması kur
4
Yanıtları Puanla
Risk matrisine gre değerlendir, kritik açıkları tespit et
5
Aksiyon Al ve İzle
Düzeltici aksiyon planı iste, periyodik yenileme takvimi kur
Anketi Sendmeden Önce: 3 Kritik Hazırlık
1. Amacı açıkça tanımlayın: Tedarikçiye anketi neden gnderdiğinizi, yanıtların nasıl kullanılacağını ve gizliliğin nasıl korunacağını açıklayan bir kapak yazısı ekleyin. Şeffaf contact, yanıt oranını ciddi lçüde artırır.2. Yanıt yükünü minimumda tutun: Her soru için net yanıt formatı belirtin — Evet/No, çoktan seçmeli veya kısa metin alanları. Belirsiz “Açıklayınız” soruları yorumu tedarikçiye bırakır ve değerlendirmeyi güçleştirir.3. Belge taleplerini baştan listeleyin: Hangi belgelerin ek olarak gnderilmesini beklediğinizi nceden bildirin: ISO 27001 sertifikası, sızma testi zet raporu, iş sürekliliği planının kapak sayfası gibi. Sürpriz belge talepleri süreci uzatır.Anket Formatı Hakkında Pratik Öneri
Excel veya PDF şablon yerine mümkünse form tabanlı bir araç kullanın (Microsoft Forms, Google Forms veya ServiceNow GRC). Form tabanlı araçlar yanıt oranını %40’a kadar artırabilir ve verileri doğrudan analiz edilebilir hale getirir.30 Örnek Soru: Kategorilere Gre Tam Şablon
Aşağıdaki soru seti altı kategoriye ayrılmıştır. Her sorunun yanında nerilen yanıt tipi ve değerlendirme ipucu bulunmaktadır.A. Company Trustlik Ynetimi
Tedarikçinin security olgunluk framesini ve ynetim taahhüdünü lçerSorular 1–5
1
Kuruluşunuzun geçerli bir ISO 27001, SOC 2 Type II veya eşdeğer uluslararası bilgi güvenliği sertifikasyonu var mı?
💡 Evet yanıtı için sertifika kopyası ve geçerlilik tarihini talep edin. “Hazırlık sürecindeyiz” yanıtı sarı alarm işaretidir.
2
Yazılı ve onaylı bir Bilgi Güvenliği Politikanız var mı? Bu politika ne sıklıkla gzden geçirilmektedir?
💡 “Evet, annually gzden geçirilir” ideal yanıttır. Politika tarihinin 2 yıldan eski olması risk işaretidir.
3
Bilgi güvenliği sorumluluğunu üstlenen atanmış bir CISO, Bilgi Güvenliği Yneticisi veya eşdeğer bir rolünüz var mı?
💡 Bu rol IT Müdürü ile birleşik olabilir; nemli olan sorumluluğun yazılı olarak tanımlanmış olmasıdır.
4
Son 12 ay içinde bağımsız bir üçüncü tarafça security denetimi veya sızma testi yaptırdınız mı?
💡 Testin kapsamını, yapan firmayı ve kritik bulgu sayısını sorun. Kapatılmamış kritik bulgular var mı?
5
Çalışanlarınız yılda en az bir kez bilgi güvenliği farkındalık eğitimi alıyor mu? Education kayıtları tutuluyor mu?
💡 Kimlik avı simülasyonlarını kapsayan eğitim programları olgun seviyenin gstergesidir.
B. Erişim Controlü ve Kimlik Ynetimi
Yetkisiz erişimi nleyen kontrollerin varlığını ve olgunluğunu değerlendirirSorular 6–10
6
Kritik sistemlere erişimde çok faktrlü kimlik doğrulama (MFA) zorunlu mu? Hangi sistemler kapsam dışında bırakılmaktadır?
💡 MFA’nın “yalnızca VPN’de” uygulanıp uygulanmadığını netleştirin. İdeal olan tüm kritik uygulamalarda MFA zorunluluğudur.
7
En az ayrıcalık ilkesi (Least Privilege) uyguluyor musunuz? Kullanıcı erişim hakları ne sıklıkla gzden geçirilmektedir?
💡 Altı ayda bir veya daha sık yürütülen erişim gzden geçirmeleri iyi pratik kabul edilir.
8
Şirketimizin sistemlerine uzak erişim sağlayan employeelarınız için ayrıcalıklı erişim ynetimi (PAM) çzümü kullanıyor musunuz?
💡 PAM olmayan durumlarda paylaşımlı ynetici şifrelerinin kullanılıp kullanılmadığını sorun — bu kritik bir risk gstergesidir.
9
Bir employee işten ayrıldığında tüm sistem ve uygulama erişimleri ne kadar sürede kapatılmaktadır?
💡 “Aynı gün veya 24 saat içinde” ideal yanıttır. “Birkaç hafta” yanıtı ciddi bir security açığı işaretidir.
10
Sistem ve uygulama erişim logları ne kadar süreyle saklanmaktadır? Bu loglara yetkisiz erişim engelleniyor mu?
💡 ISO 27001 ve KVKK açısından en az 1 yıl log saklama nerilir. Log alignment koruması da sorgulanmalıdır.
C. Veri Güvenliği ve KVKK Uyumu
Kişisel ve kurumsal verilerin korunmasına ynelik kontrolleri lçerSorular 11–16
11
Adımıza işleyeceğiniz kişisel verilerin türleri ve işleme amaçları nelerdir? Bu faaliyetler VERBIS’e kayıtlı mı?
💡 VERBIS kaydı yalnızca zorunluluktan değil; veri akışının kontrol altında olduğunun bir gstergesi olarak değerlendirilir.
12
customerlerinizle imzalanmış Veri İşleme Szleşmesi (DPA) şablonunuz var mı? Bizimle de byle bir szleşme yapabilir misiniz?
💡 DPA olmadan kişisel veri işletilmesi KVKK ihlali doğurur. “Evet, standart DPA’mız var” yanıtından sonra müzakere esnekliğini de sorun.
13
Depolanan ve iletilen veriler şifreleniyor mu? Hangi şifreleme standartları kullanılmaktadır? (rn. TLS 1.2+, AES-256)
💡 “Şifreliyoruz” yanıtı yeterli değildir. Kullanılan standart ve kapsam netleştirilmelidir: yalnızca transit mi, depolamada da mı?
14
Bir veri ihlali tespit ettiğinizde müşterilere bildirme süreniz nedir? Bu bildirimi yapacak tanımlı bir süreciniz var mı?
💡 KVKK, veri sorumlusunun KVK Kurulu’nu 72 saat içinde bildirmesini zorunlu kılar. Tedarikçinin sizi çok daha hızlı bildirmesi beklenir.
15
Szleşme sona erdiğinde bizimle ilgili verileri nasıl imha ediyorsunuz? Bu sürecin belgesi sağlanabilir mi?
💡 “Siliyoruz” yeterli değildir. Güvenli imha yntemi (DoD 5220.22-M, NIST 800-88 vb.) ve imha belgesi talep edilmelidir.
16
Yurt dışına kişisel veri aktarımı gerçekleştiriyor musunuz? Aktarım yapılan ülkeler ve kullanılan hukuki mekanizma nedir?
💡 Yurt dışı aktarım için KVK Kurulu kararı veya açık rıza gerekir. Belirsiz yanıt ciddi bir uyumsuzluk işareti olabilir.
D. Ağ ve Altyapı Güvenliği
Teknik security kontrollerini ve altyapı olgunluğunu değerlendirirSorular 17–21
17
Ağ segmentasyonu uyguluyor musunuz? Kritik sistemler ile genel ağ arasında mantıksal veya fiziksel ayrım var mı?
💡 Özellikle bulut ve SaaS tedarikçileri için: şirketinize hizmet veren sistemlerin genel ofis ağından izole edilip edilmediğini netleştirin.
18
Security açığı ynetimi (vulnerability management) süreciniz var mı? Kritik yamalar ne kadar sürede uygulanmaktadır?
💡 Kritik yamalar için 15–30 gün, yüksek nem düzeyi için 30–60 gün standart beklentidir. “İmkân buldukça” yanıtı kabul edilemez.
19
Security olaylarını izlemek için SIEM, security duvarı veya saldırı tespit sistemi (IDS/IPS) kullanıyor musunuz?
💡 7/24 izleme kapasitesi ve olay yanıt süreleri (MTTD/MTTR) hakkında ek bilgi isteyin.
20
Yazılım geliştirme süreçlerinizde güvenli kodlama standartları (OWASP, SAST/DAST araçları) uygulanıyor mu?
💡 Yalnızca yazılım geliştiren tedarikçiler için geçerlidir. DevSecOps olgunluğunu lçen kritik bir sorudur.
21
Çalışanlarınızın kişisel cihazlarını (BYOD) iş sistemlerine erişmek için kullandığı durumlar var mı? Bu cihazlar nasıl ynetilmektedir?
💡 MDM (Mobil Cihaz Ynetimi) çzümü olmaksızın BYOD kullanımı, veri sızıntısı için ciddi bir risk vektrüdür.
E. İş Durationkliliği ve Olay Müdahalesi
Kesinti ve kriz senaryolarına karşı hazırlığı lçerSorular 22–26
22
Yazılı ve onaylı bir İş Durationkliliği Planınız (BCP) ve Felaket Kurtarma Planınız (DRP) var mı? Son tatbikat tarihi nedir?
💡 Plan var ama hiç test edilmemişse pratikte değeri sınırlıdır. Son 12 ayda tatbikat yapılmamış olması sarı alarm işaretidir.
23
Kritik sistemleriniz için RTO (Kurtarma Durationsi Hedefi) ve RPO (Kurtarma Noktası Hedefi) tanımlanmış mı? Bu değerler SLA taahhütlerinizle uyumlu mu?
💡 SLA süresinin RTO’yu aşması kabul edilemez bir taahhüttür. Bu uyumsuzluk szleşmede netleştirilmelidir.
24
Security olayı müdahale planınız (Incident Response Plan) var mı? Olay tespitinden müşteri bildirimine kadar geçen süreci tanımlıyor mu?
💡 Sizi etkileyecek olaylarda bildirim kanalını ve yetkili irtibat kişisini mutlaka netleştirin.
25
Son 3 yıl içinde hizmetinizi etkileyen bir security olayı veya nemli kesinti yaşandı mı? Yaşandıysa nasıl ynetildi?
💡 “No” yanıtı her zaman güven verici değildir. Important olan yanıtın tutarlılığı ve ğrenilen derslerdir.
26
Verilerinizin yedeklemesi ne sıklıkla yapılmaktadır? Yedekler, üretim ortamından fiziksel veya mantıksal olarak izole edilmiş mi?
💡 Fidye yazılımı saldırılarında en kritik nokta yedek izolasyonudur. Production ortamına bağlı yedekler saldırıda birlikte şifrelenir.
F. Alt Tedarikçi ve Tedarik Zinciri Riski
Drdüncü taraf riskini ve tedarik zinciri güvenliğini değerlendirirSorular 27–30
27
Bize hizmet vermek için alt tedarikçi veya üçüncü taraf kullanıyor musunuz? Bu alt tedarikçiler kimlerdir?
💡 SITA ve SolarWinds vakalarında grüldüğü gibi, asıl risk çoğunlukla tedarikçinin tedarikçisinden geliyor. Şeffaflık bu noktada kritik.
28
Alt tedarikçilerinize bilgi güvenliği gerekliliklerinizi yansıtıyor musunuz? Szleşmelerinde security maddeleri var mı?
💡 “Güveniyoruz” yanıtı riskli bir pratiktir. Alt tedarikçi security değerlendirmesi yapılıp yapılmadığını sorun.
29
Yazılım ürünlerinizde açık kaynak bileşenler kullanıyor musunuz? Bu bileşenlerin security açıkları takip ediliyor mu? (SCA/SBOM)
💡 Log4Shell ve XZ Utils vakaları, açık kaynak bağımlılık riskini gündeme taşıdı. SBOM (Yazılım Malzeme Listesi) talebi endüstri standardı haline geliyor.
30
Szleşmemiz kapsamında denetim hakkımızı kullanarak security kontrollerinizi yerinde veya uzaktan değerlendirmemize izin verir misiniz?
💡 “No” yanıtı tek başına kırmızı alarm değildir — büyük firmalar bireysel denetimleri kabul etmeyebilir. Alternatif evidence (son denetim raporu, pentest zeti) talep edin.
Yanıtları Nasıl Puanlarsınız?
Anket yanıtlarını topladıktan sonra nesnel ve tutarlı bir puanlama mekanizması olmadan karşılaştırma yapmak güçleşir. Aşağıda basit ama etkili bir model sunuyoruz.⚡ Tedarikçi Security Anketi Valuelendirme Modeli
| Yanıt Kategorisi | Puan | Risk Seviyesi | Önerilen Aksiyon |
|---|---|---|---|
| Evet + Belge sunuldu + Uygulama evidenceı var | 4 | Düşük Risk | Standart izleme yeterli |
| Evet + Belge sunuldu | 3 | Düşük Risk | Belge geçerliliği annually teyit |
| Evet + Belge yok / Durationçte | 2 | Orta Risk | 6 ay içinde evidence talebi |
| Kısmi / Planlama aşamasında | 1 | Orta Risk | Düzeltici aksiyon planı iste |
| No / Uygulanmıyor | 0 | High Risk | Szleşme ncesi değerlendirme gerekli |
| Yanıtlanmadı / Atlandı | −1 | Kritik Risk | Tedarikçiyi eskalasyona al |
90–120
Olgun Seviye — Standart izleme yeterli
60–89
Gelişmekte — 6 aylık aksiyon planı iste
30–59
Yetersiz — Ek denetim ve szleşme şartı
0–29
Kritik — Onaylama, üst ynetimi bilgilendir
Kritik Sorular İçin Ağırlıklı Puanlama
MFA zorunluluğu (soru 6), veri ihlali bildirimi (soru 14), yedek izolasyonu (soru 26) ve denetim hakkı (soru 30) gibi sorular için puanlamayı 2 katına çıkarabilirsiniz. Bu sorularda 0 puan alan tedarikçi, genel toplam ne olursa olsun yeniden değerlendirmeye alınmalıdır.Yaygın Hatalar ve Doğruları
Tedarikçi security anketlerinde yapılan hatalar, programı grünür kılmak yerine güveni yanlış biçimde tescil etmeye yol açar. İşte en sık karşılaşılan hatalar ve doğru yaklaşım:❌ Yanlış Pratikler
- Her tedarikçiye aynı anketi gndermek
- Yanıtları okumadan dosyalamak
- Yalnızca onboarding’de gnderip izlememek
- “ISO var, yeter” diye puanlama bitirmek
- No yanıtlarını takip etmemek
- Anketi tedarikçiye “yük” gibi sunmak
- Belge talep etmeden Evet yanıtına güvenmek
✅ Doğru Pratikler
- Kritiklik seviyesine gre soru setini lçeklendirmek
- Yanıtları belgelemek ve puanlamak
- Annual yenileme ve olay tetiklemeli güncelleme
- Belgeyi grüp geçerlilik tarihini kontrol etmek
- No yanıtları için aksiyon planı almak
- Anketi ortaklık sürecinin parçası olarak sunmak
- Kritik sorularda evidence belgesi talep etmek
Supplier Direnciyle Nasıl Başa Çıkılır?
Bazı tedarikçiler — zellikle büyük firmalar — security anketi doldurmayı reddedebilir. Bu durumda şu alternatifleri deneyin:1. Belge talebi yoluna gidin: Bireysel anketi doldurmak yerine, düzenli bağımsız denetimden geçtiklerini evidencelayan ISO 27001 veya SOC 2 Type II belgesi isteyin. Bu yaklaşım büyük SaaS sağlayıcılarında yaygın kabul grür.2. Paylaşılan anket platformlarını kullanın: Prevalent, OneTrust veya CAIQ (Consensus Assessment Initiative Questionnaire) gibi endüstri standardı anketlere tedarikçinin nceden verdiği yanıtlara erişin.3. Szleşmeye evidence yükümlülüğü ekleyin: “Tedarikçi, talep halinde security durumunu evidencelayan bağımsız denetim raporunu paylaşmayı kabul eder” ifadesini szleşmeye yerleştirin.Sonuç ve Sonraki Adımlar
Tedarikçi security anketi; tek başına bir hedef değil, TPRM programının hayata geçtiği ilk somut adımdır. İyi hazırlanmış 30 soru, yüzeysel 100 sorudan çok daha değerli bilgi üretir — çünkü nemli olan soruların sayısı değil, yanıtların ne kadar güvenilir şekilde değerlendirildiğidir.Bu makaledeki şablonu kullanarak başlayabilir, kritiklik seviyesine gre soruları lçeklendirebilir ve zamanla puanlama modelinizi kendi risk iştahınıza gre zelleştirebilirsiniz. Aklınızda bulunması gereken temel ilke şu: gnderilen ve arşivlenen bir anket security sağlamaz — yanıtları okunan, puanlanan ve takip edilen bir anket sağlar.Tedarikçi security anketi, bir tedarikçiyi cezalandırma aracı değil; ortak risk anlayışı oluşturma sürecidir. Bunu tedarikçiye karşı değil, tedarikçiyle birlikte yapın.
Tedarikçi Security Anket Şablonunuzu Hazırlamamıza Yardımcı Olalım
Secure Fors olarak sektrünüze ve tedarikçi profilinize zel security anketi tasarımı, KVKK uyumlu DPA hazırlığı ve TPRM program kurulumu konularında consulting sunuyoruz.Request a Free Pre-Evaluation →Tedarikçi Security Valuelendirmelerinizi Profesyonelleştirin
Secure Fors olarak, ISO 27001 ve ISO 27036 framesinde tedarikçi security anketleri ve TPRM programı danışmanlığı sunuyoruz.
