Tedarikçi Security Anketi (VSQ) Nasıl Hazırlanır?
Türkiye Gerçeklerine Uygun Soru Seti
1. Tedarikçi Security Anketi Neden Zorunlu Hale Geldi?
Artık bir şirketin security duruşunu yalnızca kendi sistemlerini koruyarak sağlamak mümkün değil. Bir yazılım tedarikçiniz, lojistik sağlayıcınız veya bulut altyapı firmanız üzerinden gerçekleşen bir saldırı, doğrudan sizin ihlal dosyanıza giriyor.
Düzenleyici cephe de aynı ynde baskı kuruyor: BDDK’nın bilgi sistemleri tebliği, DDO BİG Rehberi’nin 3.5.3 maddesi ve KVKK’nın veri işleyenlerle ilgili maddeleri, tedarikçi güvenliğini artık iyi niyet değil, zorunluluk olarak tanımlıyor.
Türkiye zelinde not: BDDK kapsamındaki finansal kuruluşlar için dış hizmet sağlayıcıların security değerlendirmesi, 2023 sonrası BT governance tebliğiyle bağlayıcı hale gelmiştir. Aynı gereklilik DDO BİG Rehberi kapsamındaki kamu kurumları için de geçerlidir.
2. VSQ (Vendor Security Questionnaire) What Is It?
Tedarikçi Security Anketi (VSQ), kurumunuzun bir tedarikçi veya iş ortağıyla çalışmadan nce ya da mevcut ilişkiyi değerlendirirken uyguladığı yapılandırılmış bir soru setidir. Amacı tedarikçinin bilgi güvenliği olgunluk düzeyini lçmek ve kurumunuzun risk toleransıyla ne lçüde rtüştüğünü anlamaktır.
VSQ, tek başına bir araç değil, TPRM (Üçüncü Taraf Risk Ynetimi) programının temel bileşenlerinden biridir. Gelen cevaplar, tedarikçi sınıflandırması, szleşme koşulları ve sürekli izleme kararlarına girdi sağlar.
3. VSQ Durationcinin 5 Adımı
Tedarikçi Envanterini Çıkarın
Hangi tedarikçiler kurumsal veriye, sisteme veya ağa erişiyor? Bu soruyu cevaplamadan anket sürecini başlatmak mümkün değildir. asset inventoryinizle çapraz kontrol yapın.
Sınıflandırma ve Önceliklendirme
All tedarikçilere aynı anketi uygulamak hem kaynak israfı hem de gereksiz sürtüşme yaratır. Kritiklik seviyesine gre üç katmanlı bir yaklaşım benimseyin. (Bkz. Tablo 1)
VSQ Sendimi ve Takip
Anket, e-posta zincirinde kaybolmamalı. Mümkünse belirlenmiş bir platform veya güvenli form üzerinden gnderin. Cevap süresi için SLA tanımlayın (nerilen: 10 iş günü).
Valuelendirme ve Skorlama
Gelen cevapları nceden tanımlanmış bir puanlama rubriğine gre değerlendirin. Her kategori için ağırlık katsayısı belirleyin. Otomatize edemiyorsanız en azından standart bir Excel şablonu kullanın.
Karar ve Durationkli İzleme
Onay, koşullu onay veya red kararı. Onaylanan tedarikçiler için annually yeniden değerlendirme ve olay bildirimi yükümlülüğü szleşmeye yansıtılmalıdır.
4. Tedarikçi Sınıflandırması: Hangi Anketi, Kime Sendmeli?
Her tedarikçiyi aynı detay düzeyinde değerlendirmek sürdürülebilir değildir. Aşağıdaki tablo, ISO 27036-1 ve DORA’daki “kritik ICT hizmet sağlayıcı” tanımından uyarlanan üç katmanlı sınıflandırmayı gstermektedir:
| Seviye | Özellik | Örnekler | VSQ Kapsamı | Yenileme |
|---|---|---|---|---|
| KRİTİK | Kritik veriye erişim, core sisteme entegrasyon, iş sürekliliğini doğrudan etkiler | Çekirdek bankacılık yazılımı, bulut altyapı sağlayıcısı, ERP tedarikçisi | Tam anket (60-80 soru) + yerinde denetim | Annual + olay tetikleyici |
| ÖNEMLİ | Sınırlı veri erişimi, destekleyici sistem entegrasyonu | CRM çzümü, e-posta security servisi, İK yazılımı | Orta anket (30-40 soru) | 2 yılda bir |
| RUTİN | Company veriye erişim yok veya çok sınırlı | Ofis malzeme tedarikçisi, ulaşım sağlayıcısı, baskı firması | Temel anket (10-15 soru) veya beyan formu | 3 yılda bir |
Pratik ipucu: Kritiklik değerlendirmesinde üç soruyu kendinize sorun: (1) Bu tedarikçi erişimini kaybetsem iş sürekliliğim ne kadar etkilenir? (2) Bu tedarikçi hangi veri sınıflarına erişiyor? (3) Bu tedarikçi üzerinden gerçekleşecek bir ihlal KVKK bildirimi yükümlülüğü doğurur mu?
5. Türkiye’deki Düzenlemelerin VSQ’ya Yansıması
Türkiye’de faaliyet gsteren şirketler için VSQ’nun hangi regülasyon gerekliliklerini karşılaması gerektiği aşağıda zetlenmiştir:
🏦 BDDK BT Ynetişim Tebliği
- Dış hizmet sağlayıcı security değerlendirmesi zorunlu
- Kritik sistemlere erişen tedarikçiler için artırılmış inceleme
- Tedarikçi olay bildirimi mekanizması şart
- Annual yeniden değerlendirme beklentisi
🏛️ DDO BİG Rehberi 3.5.3
- Tedarikçi ilişkileri security politikası zorunlu
- Szleşmelerde security maddeleri şart
- Kabul kriterleri ile security kriterleri uyumlu olmalı
- Tedarik zincirinin sürekli izlenmesi beklentisi
🔐 KVKK (Veri İşleyen İlişkisi)
- Veri işleyen seçiminde yeterli güvence aranmalı
- Teknik ve idari tedbirlerin varlığı doğrulanmalı
- Alt veri işleyen zinciri kontrol edilmeli
- Kişisel veri işleme szleşmesi (DPA) zorunlu
🇪🇺 DORA (AB ile ilişkili şirketler)
- ICT üçüncü taraf risk ynetimi framesi şart
- Kritik ICT hizmet sağlayıcı tespiti ve bildirim
- Tedarikçi çıkış planı hazırlanması zorunlu
- Yoğunlaşma riski değerlendirmesi
6. Türkiye Gerçeklerine Uygun VSQ Soru Seti
Aşağıdaki soru seti, Secure Fors’un THY, finans kurumları ve telekomünikasyon sektründe yürüttüğü gerçek tedarikçi denetimleri deneyiminden derlenerek ISO 27036, NIST TPRM Çerçevesi ve Türkiye’deki regülasyon gereklilikleriyle uyumlu hale getirilmiştir. Sınıflandırmaya gre uygulanacak kategoriler parantez içinde belirtilmiştir.
Bilgi Güvenliği Ynetim Sistemi (BGYS) Temelleri
- ISO 27001 veya eşdeğer bir bilgi güvenliği sertifikasına sahip misiniz? Sertifika tarih ve kapsamını paylaşabilir misiniz? Kritik
- Yazılı bir Bilgi Güvenliği Politikası mevcut mu? Son güncelleme tarihi nedir?
- Bilgi güvenliği sorumluluğu atanmış bir ynetici/CISO var mı? Important+
- Annual iç denetim veya risk değerlendirmesi gerçekleştiriyor musunuz?
- Son 3 yılda gerçekleştirilen dış security denetimleri hakkında bilgi verebilir misiniz?
- Çalışanlarınıza düzenli bilgi güvenliği farkındalık eğitimi veriliyor mu? Annual sıklığı nedir?
Veri Güvenliği ve KVKK Uyumu
- Kurumumuza ait verileri hangi ülke/ülkelerde işliyorsunuz ve depoluyorsunuz? Kritik
- Kişisel verilerin yurt dışına aktarımı sz konusu mu? Hukuki dayanak nedir? Kritik
- Kurumumuza ait verileri başka tedarikçilere (alt yükleniciler) aktarıyor musunuz? Dikkat
- Durağan ve hareket halindeki veriler için şifreleme uyguluyor musunuz? Hangi standartlar?
- Veri sınıflandırma politikanız var mı? Kişisel veriyi nasıl etiketliyorsunuz?
- Szleşme sona erdiğinde kurumumuza ait verilerin imhası için prosedürünüz nedir?
- KVKK kapsamında VERBIS kaydınız var mı?
Erişim Ynetimi ve Kimlik Güvenliği
- Kurumumuzun sistemlerine veya verilerine hangi personel erişecek? Asgari yetki ilkesi uygulanıyor mu? Kritik
- Uzaktan erişim yapılacak mı? Kullanılan yntem ve VPN/PAM politikası nedir? Kritik
- Ayrıcalıklı hesaplar (admin, root) için çok faktrlü kimlik doğrulama (MFA) uyguluyor musunuz?
- Çalışan işten ayrılma sürecinde erişim iptali prosedürünüz nedir? Ortalama süre?
- Kullanıcı erişim kayıtları (log) tutuluyor ve izleniyor mu? Saklama süresi?
- Tedarikçinizin kendi tedarikçilerinin (4. taraf) erişimini nasıl ynetiyorsunuz? Dikkat
Ağ ve Sistem Güvenliği
- Kurumumuza ait veri veya sistemleri barındıran altyapı fiziksel olarak diğer müşterilerden ayrılmış mı? Important+
- Security duvarı, IDS/IPS ve SIEM çzümleriniz var mı?
- Yama ynetimi politikanız nedir? Kritik yamalar için maksimum uygulama süresi?
- Son 12 ayda sızma testi (pentest) gerçekleştirdiniz mi? Bulguların durumu nedir? Rapor talep et
- Bulut altyapısı kullanıyorsanız hangi sağlayıcılar? Paylaşımlı sorumluluk modeli nasıl ynetiliyor?
- Geliştirme/test ortamlarında gerçek üretim verisi kullanılıyor mu?
Olay Ynetimi ve İş Durationkliliği
- Yazılı bir Siber Olay Müdahale Planınız (CSIRP) var mı? Son test tarihi? Kritik
- Kurumumuzu etkileyen bir security olayında bildirim süreniz nedir? Kritik — SLA’ya yansıt
- Son 3 yılda yaşanan security olayları veya veri ihlalleri hakkında zet bilgi verebilir misiniz?
- İş Durationkliliği Planınız (BCP) ve Felaket Kurtarma Planınız (DRP) var mı? RTO/RPO değerleriniz?
- Hizmet sürekliliği için yedeklilik (redundancy) ve failover mekanizmalarınız neler?
- Siber sigorta poliçeniz var mı? Kapsamı ve teminat tutarı?
Yazılım Geliştirme Güvenliği (Yalnızca Yazılım Tedarikçileri)
- Güvenli yazılım geliştirme yaşam dngüsü (SSDLC) uyguluyorsunuz mu? Yazılım tedarikçisi
- Statik ve dinamik kod analizi (SAST/DAST) araçları kullanıyor musunuz?
- Açık kaynak bileşenlerin security açıklarını takip ediyor musunuz? (SCA/SBOM)
- Tedarik ettiğimiz yazılımın kaynak kodu security denetiminden geçti mi?
- Yazılım güncellemelerinin alignment nasıl doğrulanıyor? (kod imzalama, vb.)
- Geliştirme ekibinde security farkındalık eğitimi (OWASP, vb.) sıklığı nedir?
Fiziksel Security ve İnsan Kaynakları
- Veri merkezleriniz veya ofislerinizde fiziksel erişim kontrolleri uygulanıyor mu?
- İşe alım sürecinde security geçmişi araştırması (background check) yapıyor musunuz? Kritik veriye erişim için
- Gizlilik anlaşmaları (NDA) tüm personel ve alt yüklenicilerle imzalanmış mı?
- Uzaktan çalışma politikanız ve güvenli uzak erişim uygulamalarınız neler?
Kırmızı bayraklar — Bu cevaplar acil eskalasyon gerektiriyor: “MFA yok, yazılı politika yok, son 3 yılda denetim yok, olay bildirim süresi tanımsız, alt yüklenicilerden haberdar değiliz.” Bu cevaplardan herhangi biri, tedarikçi onay sürecini durdurmalıdır.
7. VSQ Cevaplarını Nasıl Puanlamalısınız?
Anket cevaplarının tutarlı bir şekilde değerlendirilebilmesi için basit bir puanlama sistemi tanımlamanız yeterlidir. Aşağıdaki ağırlıklı kategori tablosu, critical supplierler için nerilen bir yaklaşımı gstermektedir:
| Kategori | Ağırlık | Tam Puan | Eşik (Geçer) |
|---|---|---|---|
| BGYS Temelleri (Kat. A) | %20 | 20 puan | 12 |
| Veri Güvenliği / KVKK (Kat. B) | %25 | 25 puan | 18 |
| Erişim Ynetimi (Kat. C) | %20 | 20 puan | 14 |
| Ağ & Sistem Güvenliği (Kat. D) | %15 | 15 puan | 10 |
| Olay Ynetimi / İş Durationkliliği (Kat. E) | %15 | 15 puan | 10 |
| Ek kategoriler (F, G) | %5 | 5 puan | 3 |
| TOPLAM | %100 | 100 puan | 75 (koşullu: 60-74) |
75 ve üzeri: Onaylandı. 60–74: Koşullu onay — düzeltici eylem planı ile 90 gün içinde yeniden değerlendirme. 60 altı: Kritik tedarikçi statüsünde çalışılamaz, risk kabulü veya alternatif tedarikçi aranır.
8. TPRM Programınız Hangi Olgunluk Seviyesinde?
VSQ uygulamak, TPRM programının tek bileşeni değildir. Programınızın genel olgunluğunu değerlendirmek için aşağıdaki modeli kullanabilirsiniz:
Türkiye’deki kurumların büyük çoğunluğu Seviye 1-2 arasındadır. VSQ uygulamasına geçiş, Seviye 3 için yeterli olmakla birlikte, regülasyonların beklediği standart Seviye 3-4 aralığına denk gelmektedir.
9. VSQ Uygularken Yapılan 5 Yaygın Hata
1. Herkese Aynı Anketi Sendmek
Kalem tedarikçisiyle çekirdek bankacılık yazılımı sağlayıcısına aynı soruları sormak hem verimsiz hem de sonuçları anlamsızlaştırır. Sınıflandırma olmadan VSQ sürdürülemez.
2. Cevabı Doğrulamadan Kabul Etmek
“ISO 27001 sertifikamız var” yanıtı yeterli değildir. Sertifika belgesini, kapsamını ve tarihini grmelisiniz. Kritik tedarikçiler için beyan yetersiz, evidence gereklidir.
3. Drdüncü Tarafları Grmezden Gelmek
Tedarikçinizin kendi tedarikçileri de sizin risk hanenize yazılır. “Alt yüklenicilerimizi paylaşmıyoruz” cevabı başlı başına bir kırmızı bayraktır.
4. Bir Kez Yapıp Bırakmak
VSQ anlık bir fotoğraftır. Tedarikçinizin security duruşu 6 ay sonra değişmiş olabilir. Özellikle critical supplierler için annually yenileme zorunlu, olay tetikleyicili yenileme de planlanmalıdır.
5. Resultsı Szleşmeye Yansıtmamak
VSQ’dan elde edilen bulgular yalnızca bir dosyada kalıyorsa değersizdir. Minimum security gereklilikleri, olay bildirim süreleri ve denetim hakkı szleşme maddelerine dnüşmelidir.
Sonuç
Tedarikçi Security Anketi, TPRM programınızın en grünür ve en somut bileşenidir. Doğru yapılandırılmış bir VSQ ile hem regülasyon yükümlülüklerinizi karşılarsınız hem de gerçek anlamda tedarik zinciri kaynaklı riskleri grünür kılarsınız.
Türkiye’ye zgü düzenlemeler (BDDK, DDO BİG, KVKK) bu süreci artık isteğe bağlı olmaktan çıkarmıştır. Sorulara verilen cevapları szleşme koşullarına, denetim planlarına ve sürekli izleme mekanizmalarına bağladığınızda ortaya gerçek bir TPRM programı çıkar — Excel tablosu değil.
Ücretsiz VSQ Şablonu: Bu yazıdaki tüm soruları ve puanlama rubriğini içeren, Excel formatında hazır Tedarikçi Security Anketi şablonunu indirmek için buradan talepte bulunun. Sektrünüze zel (finans, havacılık, enerji) uyarlanmış versiyonlar da mevcuttur.
Tedarikçi Security Programınızı Birlikte Kuralım
Secure Fors olarak TPRM programı tasarımı, VSQ uygulaması ve tedarikçi denetimlerinde sektrel deneyim sunuyoruz. THY, Akbank ve Turkcell gibi kurumlarda sahada test edilmiş metodoloji ile yanınızdayız.
Ücretsiz Danışmanlık Alın →İlgili okumalar: Supplier Denetimi (TPRM) Hizmetimiz · Üçüncü Taraf Kaynaklı Siber Risk Ynetimi · DORA Consulting
