Tedarikçi Security Denetimi

Secure Fors — TPRM Hizmetleri

Tedarikçi Security Denetimi

Your suppliers sizin en güçlü savunma hattınızın arkasından içeri girer. Tedarikçi security denetimi, bu erişimi grünür kılar, lçer ve güvenli hale getirir.

%60+

büyük veri ihlali
üçüncü taraf kaynaklı

287 gün

tedarikçi kaynaklı ihlalde
ortalama tespit süresi

1/3

kurum geçen yıl
tedarik zinciri saldırısına maruz kaldı

Bu Yazıda

Tedarikçi Security Denetimi Nedir ve Ne Değildir?
Legal Obligation mu, İyi Uygulama mı? Türkiye’deki Çerçeve
Kim Denetlemeli? İç Kaynak, Dış Danışman veya Hibrit
Hangi Tedarikçiyi Önce Denetle? Kritiklik Matrisi
Denetim Metodolojisi: Belgeden Sahaya
Denetimde Reviewnen 8 Control Alanı
Denetim Raporu Nasıl Hazırlanır?
Ne Sıklıkta Denetim Yapılmalı?
Bulgular Kapatılmadığında Ne Olur?
Sık Sorulan Sorular

1. Tedarikçi Security Denetimi Nedir ve Ne Değildir?

Tedarikçi security denetimi; bir kuruluşun mal, hizmet veya teknoloji aldığı üçüncü tarafların — yazılım firmaları, veri işleyenler, bulut sağlayıcıları, bakım-onarım firmaları, consulting şirketleri, lojistik ortaklar — bilgi güvenliği seviyesini lçmek, belgelemek ve riske dayalı biçimde ynetmek amacıyla yürütülen sistematik bir değerlendirme sürecidir.

Bu süreç; bir anket formu doldurmaktan, evidence doğrulamasına, saha ziyaretine ve periyodik izlemeye kadar uzanan çok katmanlı bir yapıdır. Tek seferlik değil, sürekli bir dngüdür.

Tedarikçi Security Denetimi…

✓

Politika, belge ve teknik evidenceları inceler

✓

Durationç ve kontrollerin etkinliğini lçer

✓

Standart ve yasal gereksinimlere uyumu doğrular

✓

Risk skoruna dayalı düzeltici faaliyet nerir

✓

İş ilişkisini belgeyle destekler; BGYS’ye entegre edilir

Tedarikçi Security Denetimi Değildir…

Penetrasyon testi — aktif saldırı simülasyonu değil

Zafiyet taraması — teknik tarama araçlarıyla otomatik test değil

Tek seferlik olay — periyodik izlemeyi kapsayan bir dngüdür

Sertifika kontrolü — ISO 27001 sertifikası doğrulamanın tamamı değil

Tedarikçiyi cezalandırma aracı — iyileştirmeye odaklı bir süreçtir

2. Legal Obligation mu, İyi Uygulama mı? Türkiye’deki Çerçeve

Türkiye’de tedarikçi security denetimi artık yalnızca “iyi uygulama” değil; birden fazla yasal ve standart frame tarafından doğrudan ya da dolaylı biçimde zorunlu kılınmaktadır.

Çerçeve	Madde / Control	Supplier Denetimine Etkisi	Nitelik
ISO 27001:2022	Ek A 5.19–5.22 Madde 8.4	Tedarikçi ilişkilerinin politikayla ynetilmesi, szleşmelere security gereksinimlerinin eklenmesi ve periyodik izleme. Sertifika için zorunlu.	Sertifikasyon
KVKK	Madde 12 Veri güvenliği yükümlülükleri	Veri sorumlusu, veri işleyen konumundaki tedarikçinin güvenliğini sağlamakla yükümlüdür. İmzalanmış VİS ve tedarikçi security değerlendirmesi zorunlu.	Yasal Zorunlu
Siber Security Kanunu 2025	Kritik altyapı Tedarik zinciri güvenliği	Kritik altyapı işleten kurumların tedarik zincirini güvenceye alması ve denetlemesi zorunlu. Mart 2025’te yürürlüğe girdi.	Yasal Zorunlu
BDDK / BİGR	Dış hizmet alımı Risk ynetimi ynetmeliği	Bankacılık sektründe dış hizmet sağlayıcıların annually security denetimi zorunlu. Denetim hakkı szleşmeye eklenmeli.	Sektrel Zorunlu
EASA Part-IS / SHGM SHT-IS	Havacılık bilgi güvenliği	Havacılık sektründe tedarikçilerin bilgi güvenliği gereksinimlerine uyumu ve periyodik doğrulama zorunlu.	Sektrel Zorunlu

Important: KVKK kapsamında veri sorumlusu olarak, veri işleyen tedarikçinizin security ihlalinden siz de sorumlu tutulabilirsiniz. “Tedarikçimiz kendi işini bilir” savunması, KVKK Madde 12 karşısında yasal zemin oluşturmaz.

3. Kim Denetlemeli? İç Kaynak, Dış Danışman veya Hibrit

Tedarikçi security denetimini kimin yürüteceği, denetimin kalitesini ve bağımsızlığını doğrudan etkiler. Üç seçenek vardır:

İç Kaynak

Kendi BGYS / bilgi güvenliği ekibi

Avantajlar

Kurumu tanıma avantajı
Düşük dışsal maliyet
Esneklik ve hız

Kısıtlar

Tarafsızlık sorgulanabilir
Denetim uzmanlığı eksik olabilir
ISO 27001 denetçi yetkinliği gerekmez

Önerilen

Bağımsız Dış Danışman

Uzman TPRM / denetim firması

Avantajlar

Tam bağımsızlık ve tarafsızlık
Sektr kıyaslaması ve benchmark
ISO 27001 Lead Auditor yetkinliği
Tedarikçiyle ilişkiyi korur
Denetim raporunu ISO 27001 evidenceı olarak kullanabilirsiniz

Kısıtlar

Ek maliyet
Bilgi aktarımı gerektirir

Hibrit Model

İç ekip + dış danışman iş birliği

Avantajlar

İç bağlamı dış uzmanlıkla birleştirir
Ekip yetkinliğini geliştirir
Ölçeklenebilir yapı

Kısıtlar

Koordinasyon gerektirir
Sorumluluk paylaşımı netleştirilmeli

Pratik kural: Kritik tedarikçiler, kişisel veri işleyenler ve ISO 27001 denetimine evidence sağlayacak değerlendirmeler için bağımsız dış danışman tercih edilmelidir. Orta ve low kritiklikdeki tedarikçiler için hibrit veya iç kaynak yeterli olabilir.

4. Hangi Tedarikçiyi Önce Denetle? Kritiklik Matrisi

Onlarca tedarikçisi olan bir kuruluşun hepsini aynı anda aynı kapsamda denetlemesi kaynak açısından mümkün değildir. Doğru nceliklendirme için aşağıdaki iki ekseni kullanın:

Tedarikçi Önceliklendirme Matrisi

Düşük Erişim / Veri

high Erişim / Veri

high İş Etkisi

high

Annual denetim
Security anketi + saha

Kritik

Annual tam denetim
6 ayda bir izleme

Düşük İş Etkisi

Düşük

3 yılda bir
veya standart anketi

Orta

2 yılda bir denetim
Belge doğrulama

Dikey eksen: iş sürekliliğine etkisi | Yatay eksen: eriştiği veri ve sistem hassasiyeti

Otomatik Olarak Kritik Kategoriye Giren Tedarikçiler

▶

Kişisel veriye erişen veya işleyen tüm tedarikçiler (KVKK zorunluluğu)

▶

Temel iş sistemlerine (ERP, CRM, muhasebe) erişimi olan firmalar

▶

Bulut altyapı sağlayıcıları (IaaS, PaaS, SaaS)

▶

Ağ veya sistemlere uzaktan erişimi olan yazılım / bakım firmaları

▶

Gizli iş veya ticari bilgiye erişen danışmanlar ve yükleniciler

▶

Operasyonel sürekliliği doğrudan etkileyen lojistik veya üretim ortakları

5. Denetim Metodolojisi: Belgeden Sahaya

Profesyonel bir tedarikçi security denetimi drt katmanlı metodoloji ile yürütülür. Her katman birbirini tamamlar; birinin atlanması sonucu güvenilmez kılar:

Katman 1

Security Anketi
(VSQ)

Başlangıç değerlendirmesi

Tedarikçiye kapsamlı bir security anketi gnderilir. Politikalar, teknik kontroller, sertifikalar, olay geçmişi, alt yüklenici kullanımı ve KVKK uyumu sorgulanır. Anket yanıtları n risk skoru oluşturur.

Politika soruları Teknik kontroller Uyum belgeleri Olay geçmişi

Katman 2

Belge Reviewmesi
ve Doğrulama

Kanıt temelli doğrulama

Ankete verilen yanıtlar evidencela doğrulanır. ISO 27001/42001 sertifikası ve kapsamı, penetrasyon testi raporu, KVKK veri inventory, iş sürekliliği planı, erişim ynetimi kayıtları bizzat incelenir. “Var” yanıtı evidencesız kabul edilmez.

Sertifika kapsamı Pentest raporu BCP/DRP belgesi Erişim logları

Katman 3

Grüşme
ve Gzlem

Kritik tedarikçiler için

Kritik tedarikçiler için uzaktan veya yerinde grüşme yapılır. BT yneticisi, BGYS yneticisi ve operasyonel ekiple birebir grüşmeler gerçekleştirilir. Saha ziyaretinde fiziksel security, sunucu odası erişimi ve canlı sistem kontrolleri gzlemlenir.

BT yneticisi grüşmesi Fiziksel security Canlı sistem

Katman 4

Raporlama ve
Takip

Kapatmaya kadar sürer

Bulgular kritiklik düzeyine gre sınıflandırılır, risk skoru hesaplanır ve resmi denetim raporu hazırlanır. Kritik bulgular için kapatma tarihleri belirlenir ve takip denetimi (follow-up) planlanır. Bu aşama olmadan denetim yarım kalır.

Ynetici zeti Risk skoru Düzeltici faaliyet planı Follow-up denetim

6. Denetimde Reviewnen 8 Control Alanı

Kapsamlı bir tedarikçi security denetimi sekiz ana kontrol alanını kapsar. Her alanın ağırlığı, tedarikçinin kritiklik düzeyine ve iş ilişkisinin niteliğine gre belirlenir:

Bilgi Güvenliği Ynetimi

Kritik

BGYS politikası ve prosedürleri var mı?
ISO 27001 veya eşdeğer sertifika mevcut mu; kapsamı ne?
Annual security gzden geçirme kaydı var mı?
Üst ynetim bilgi güvenliğini aktif olarak sahipleniyor mu?

Erişim ve Kimlik Ynetimi

Kritik

En az ayrıcalık ilkesi uygulanıyor mu?
Çok faktrlü kimlik doğrulama (MFA) zorunlu mu?
Ayrıcalıklı hesaplar (PAM) izleniyor mu?
Bireysel hesap kullanımı sağlanıyor mu; paylaşılan hesap var mı?

Veri Güvenliği ve KVKK

high

Veri işleme inventory mevcut ve güncel mi?
Transit ve rest halinde şifreleme uygulanıyor mu?
Veri sınıflandırma politikası var mı?
Szleşme bitiminde veri imhası/iadesi prosedürü tanımlı mı?

Ağ ve Altyapı Güvenliği

high

Security duvarı ve ağ segmentasyonu var mı?
Security açıkları periyodik taranıyor mu?
Yama ynetimi süreci tanımlı ve uygulanıyor mu?
Uzaktan erişimde VPN veya Zero Trust kullanılıyor mu?

İş Durationkliliği ve Felaket Kurtarma

Orta-high

BCP ve DRP belgeli mi ve test edilmiş mi?
RTO ve RPO değerleri tanımlı mı?
Yedekleme sıklığı ve kurtarma prosedürü belgelenmiş mi?
Son tatbikat tarihi ve sonuçları kayıtlı mı?

Olay Ynetimi

Orta-high

Security olayı raporlama prosedürü var mı?
customerye bildirim süresi (72 saat) tanımlı mı?
Geçmiş security olayları şeffaf biçimde paylaşılıyor mu?
Olay kayıtları tutuluyor ve analiz ediliyor mu?

İnsan Kaynağı Güvenliği

Orta

Security farkındalık eğitimi zorunlu mu ve kayıtlı mı?
İşe alımda arka plan kontrolü yapılıyor mu?
Gizlilik szleşmeleri (NDA) imzalatılıyor mu?
Grevden ayrılma prosedüründe erişim kapatma var mı?

4. Taraf (Alt Tedarikçi) Riski

Orta

Tedarikçinin kritik alt yüklenicileri var mı?
Security gereksinimleri alt yüklenicilere yansıtılmış mı?
Alt yüklenici değişiklikleri bildirim gerektiriyor mu?
Veriniz alt yükleniciye aktarılıyor mu? Ne kapsamda?

7. Denetim Raporu Nasıl Hazırlanır?

Denetim raporu, tüm sürecin somut çıktısıdır. İyi hazırlanmış bir rapor hem tedarikçiye yol map, hem de ISO 27001 denetimine evidence sağlar. Standart bir rapor şu blümlerden oluşur:

Blüm 1 — Ynetici Özeti

Denetim kapsamı ve tarihi
Genel risk skoru (0–100 veya Kritik/high/Orta/Düşük)
Bulgu sayısı: Kritik / Majr / Minr / Gzlem
Öne çıkan 3 kritik bulgu zeti
Üst ynetim kararı için neri

Blüm 2 — Metodoloji

Kullanılan denetim framesi (ISO 27001, NIST vb.)
Denetim yntemi (anket / belge / saha)
Valuelendirilen kontrol alanları
Kanıt toplama yaklaşımı
Kapsam dışı bırakılan alanlar ve gerekçesi

Blüm 3 — Bulgular

Her bulgu için: Control alanı, bulgu açıklaması, evidence
Risk seviyesi: Kritik / Majr / Minr / Gzlem
İlgili standart maddesi (rn. ISO 27001 A.5.19)
KVKK veya yasal uyumsuzluk varsa belirtilmeli

Blüm 4 — Düzeltici Faaliyet Planı

Her bulgu için nerilen düzeltici faaliyet
Öneri ncelik sırası ve kapatma süresi
Sorumlu taraf (tedarikçi / müşteri / her ikisi)
Takip denetimi tarihi

Bulgu sınıflandırması ve beklenen kapatma süreleri:

KRİTİK

Anında müdahale. Veri ihlali veya sistem ele geçirilmesine doğrudan yol açabilecek kontrol boşluğu. Paylaşılan hesaplar, MFA yokluğu, kritik yamalar uygulanmamış.

Kapatma

7–30 gün

MAJÖR

Kısa vadede giderilmeli. Important security açığı oluşturan kontrol boşluğu. Belgelenmemiş erişim, güncel olmayan risk değerlendirmesi, test edilmemiş DR planı.

Kapatma

30–90 gün

MİNÖR

Uyum eksikliği oluşturan, acil risk yaratmayan bulgular. Politika güncelleme gereklilikleri, eğitim kayıt eksiklikleri, süreç dokümantasyon boşlukları.

Kapatma

90–180 gün

GÖZLEM

İyi uygulama tavsiyeleri. Security olgunluğunu artıracak iyileştirme nerileri. Zorunlu değil, isteğe bağlı aksiyon.

Kapatma

İsteğe bağlı

8. Ne Sıklıkta Denetim Yapılmalı?

Denetim sıklığı; tedarikçinin kritiklik düzeyi, veri erişim kapsamı ve sektrel regülasyon gereksinimlerine gre belirlenir:

Kritik Tedarikçiler

Yılda 1

Tam denetim
+ 6 ayda bir izleme

Orta Kritiklik

2 Yılda 1

Denetim veya
belge doğrulama

Düşük Kritiklik

3 Yılda 1

Standart anketi
veya sertifika kontrolü

Periyoddan Bağımsız Yeniden Valuelendirme Tetikleyicileri: Tedarikçide nemli personel değişikliği — Tedarikçinin alt yüklenici değişikliği — Tedarikçide security ihlali haberi — Hizmet kapsamının genişlemesi — Yeni veri kategorisine erişim açılması — Tedarikçi sertifikasının yenilenmemesi veya askıya alınması.

Sahadan Gzlem

Türkiye’deki büyük kuruluşların tedarikçi ekosistemlerinde yürüttüğümüz denetimlerde, kritik bulgular arasında en sık karşılaştıklarımız şunlardır: birden fazla tedarikçi employeeının aynı hesabı paylaşması, szleşme bitmesine rağmen erişimin açık kalması ve KVKK kapsamında veri işleme szleşmesinin hiç imzalanmamış olması. Bu üç bulgu, başka hiçbir kontrol alanına bakılmaksızın bile ciddi hukuki ve operasyonel risk oluşturur.

— Secure Fors, THY Tedarikçi Ekosistemi ve Sektrel Denetim Gzlemleri

9. Bulgular Kapatılmadığında Ne Olur?

Denetim yapmak yeterli değildir; asıl değer bulguların sistematik biçimde kapatılmasından gelir. Kapatılmayan bulgular zincirleme sonuçlar doğurur:

ISO 27001 Denetiminde

Önceki dnem bulgularının kapatılmadığı grülürse denetçi bu bulgular üzerinden uyumsuzluk açar. Tedarikçi ynetiminde açık bulgu, gzetim denetiminin en riskli gündem maddesi haline gelir.

KVKK Kapsamında

Kapatılmayan veri güvenliği bulgusu, bir ihlal halinde “gerekli teknik ve idari tedbirler alınmadı” tespitini güçlendirir. Kurul kararı ve idari para cezası riski artar.

İş İlişkisi Ynetiminde

Kritik bulguyu kapatmayan tedarikçi, gelecek szleşme yenilemesinde risk gerekçesiyle değerlendirilmelidir. Bazı durumlarda tedarikçi değişimi veya kapsamın kısıtlanması gerekebilir.

Gerçek Risk Olarak

Kapatılmayan kritik bulgu, o tedarikçi üzerinden gerçekleşebilecek bir saldırıda sizi savunmasız bırakır. Tespit edilmiş ama kapatılmamış bir açık, fırsatçı saldırganlar için bilinen hedef haline gelir.

10. Sık Sorulan Sorular

Tedarikçimiz denetimi kabul etmiyorsa ne yapmalıyız?

Bu, başlı başına bir risk sinyalidir. İlk adım, szleşmede denetim hakkı maddesinin bulunup bulunmadığını kontrol etmektir. Varsa yasal zemin mevcuttur. Yoksa bu hakkı yeni szleşme dneminde müzakere edin. Tedarikçi hâlâ direniyor ve kritik veriye erişimi varsa bağımsız security belgesi (ISO 27001, SOC 2) talep edin; sunamıyorsa tedarikçi değişimini değerlendirin.

Tedarikçi ISO 27001 sertifikalı. Bu yeterli mi?

No, tek başına yeterli değildir. Sertifikanın kapsamı sizinle employee birimi kapsamıyor olabilir. Sertifika süresi dolmuş veya askıya alınmış olabilir. Sertifika, kapsam dışındaki süreçler için güvence vermez. Sertifika incelemesi, denetimin yerini değil bir adımını oluşturur.

Küçük bir tedarikçiyi de denetlemek gerekiyor mu?

Belirleyici olan boyut değil, erişim ve veri türüdür. İki kişilik bir yazılım firması, kişisel sağlık verisine erişiyorsa büyük bir lojistik ortağından çok daha kapsamlı denetim gerektirir. Kritiklik matrisini tedarikçi büyüklüğüne değil, veriye ve sisteme etkisine gre kurun.

Tedarikçi denetimi ne kadar sürer?

Kapsamına gre değişir. Anket ve belge incelemesinden oluşan uzaktan denetim genellikle 5–10 iş günü sürer. Saha ziyaretini de kapsayan tam denetim 2–3 haftada tamamlanır. Tedarikçi yanıt süreleri bu süreyi uzatabilir; bu nedenle tedarikçiye nceden yeterli bildirim yapılması nemlidir.

Kaç tedarikçimizi denetlemeli ve nereden başlamalıyız?

Başlangıç noktası şu sorudur: “Hangi tedarikçi, yarın veri ihlali yaşasa bizim için en yıkıcı sonucu doğurur?” O tedarikçiden başlayın. Paralelde KVKK kapsamında kişisel veri işleyen tüm tedarikçilerin listesini çıkarın; bunlar yasal zorunluluk nedeniyle nce değerlendirilmeli. Başlamak için “mükemmel listeye” ihtiyacınız yok — 3–5 critical supplieryle başlamak, sıfır tedarikçiyi denetlemekten çok daha değerlidir.

Secure Fors Tedarikçi Security Denetimi Hizmeti

Your suppliersi Biz Denetleyalım.
Siz Güvenle İş Yapın.

ISO 27001 Lead Auditor yetkinliğiyle, THY tedarikçi ekosistemi ve havacılık, finans, teknoloji sektrlerindeki saha deneyimimizle; tedarikçi inventorynden saha denetimine, KVKK uyumundan ISO 27001 denetim evidenceına kadar tüm süreci ynetiyoruz.

✓

Tedarikçi inventory ve kritiklik sınıflandırması

✓

Security anketi (VSQ) hazırlama ve ynetimi

✓

Belge incelemesi ve saha / uzaktan denetim

✓

ISO 27001 Ek A 5.19–5.22 uyum değerlendirmesi

✓

KVKK veri işleyen değerlendirmesi ve VİS desteği

✓

Ynetici zeti + teknik bulgu raporu + takip denetimi