Bu Yazıda
- Tedarikçi Security Denetimi What Is It?
- Neden Kritik? Türkiye ve Küresel Tablo
- Denetim Türleri: 1., 2. ve 3. Taraf
- Adım Adım Denetim Durationci
- Denetimde Reviewnen Control Alanları
- Yasal ve Standart Zorunluluklar
- Denetim Sonrası: Bulgular ve Düzeltici Faaliyetler
- Sık Yapılan Hatalar
- Sık Sorulan Sorular
1. Tedarikçi Security Denetimi What Is It?
Tedarikçi security denetimi; bir kuruluşun mal veya hizmet aldığı üçüncü tarafların — yazılım firmaları, bulut sağlayıcıları, bakım firmaları, consulting şirketleri, lojistik ortaklar ve benzerleri — bilgi güvenliği düzeyini sistematik biçimde inceleme, lçme ve belgeleme sürecidir.
Bu denetim; yalnızca bir anket formu doldurmaktan ibaret değildir. Politika incelemesi, evidence doğrulaması, teknik kontroller ve gerektiğinde saha ziyaretini kapsayan çok katmanlı bir değerlendirme sürecidir.
Temel Amaçlar
Tedarikçinin bilgi güvenliği olgunluğunu lçmek
Üçüncü taraf kaynaklı riskleri erken tespit etmek
ISO 27001 Madde 8.4 ve KVKK yükümlülüklerini karşılamak
Tedarikçi szleşme gereksinimlerine uyumu doğrulamak
Düzeltici faaliyetlerle security seviyesini yükseltmek
Tedarikçi seçim ve yenileme kararlarına evidence üretmek
2. Neden Kritik? Türkiye ve Küresel Tablo
Tedarik zinciri saldırıları artık kurumsal güvenliğin en ngrülemeyen ve en pahalı tehdit vektrü konumundadır. Saldırganlar, büyük kurumların güçlü savunmalarını aşmak yerine, aynı verilere erişimi olan daha az korumalı tedarikçiyi hedef almaktadır.
Rakamlarla Gerçek
1/3
kurum geçen yıl tedarik zinciri saldırısına maruz kaldı
%60+
büyük veri ihlali üçüncü taraf zafiyetinden kaynaklanıyor
287
gün ortalama ihlal tespit süresi — üçüncü taraf kaynaklı
4,5M$
ortalama üçüncü taraf ihlalinin maliyeti (IBM 2024)
Türkiye’ye zgü: Kaspersky 2025 araştırmasına gre Türk işletmelerinin nemli bir blümünde yüklenici szleşmelerinde net bilgi güvenliği yükümlülüğü bulunmuyor. Bu, tedarikçi kaynaklı risklerin hem szleşmesel hem teknik olarak sahipsiz kaldığı anlamına geliyor.
Gerçek Dünya Senaryosu
Bir havacılık firması, employeelarına kullandırdığı insan kaynakları yazılımı sağlayıcısının sistemine yapılan saldırıda onlarca employeeının kimlik ve pasaport bilgilerinin sızdığını ğreniyor. Kendi sistemleri saldırıya uğramamıştır. Ancak KVKK kapsamında veri sorumlusu olarak sorumluluk yine kendisine ait. Tedarikçi denetimi yapılsaydı, bu yazılım firmasının iki faktrlü kimlik doğrulama kullanmadığı denetimde tespit edilecekti.
3. Denetim Türleri: 1., 2. ve 3. Taraf
Tedarikçi security denetimleri kim tarafından yürütüldüğüne gre üç kategoride ele alınır. Her birinin güçlü ve zayıf yanları vardır:
4. Adım Adım Tedarikçi Security Denetim Durationci
Profesyonel bir tedarikçi security denetimi altı aşamada yürütülür. Her aşamanın net girdileri, çıktıları ve sorumlulukları vardır:
Aşama 1
Kapsam ve Sınıflandırma
1–3 iş günü
Ne yapılır?
Denetlenecek tedarikçi belirlenir, kritiklik düzeyi (yüksek / orta / low) belirlenir, denetim kapsamı (sistemler, veri türleri, erişim noktaları) tanımlanır.
Çıktı
Denetim kapsamı belgesi, contact planı, tedarikçiye n bilgilendirme yazısı.
Aşama 2
Security Anketi (VSQ)
3–7 iş günü
Ne yapılır?
Kapsamı belirlenmiş standart security anketi tedarikçiye iletilir. Politikalar, teknik kontroller, uyum belgeleri, olay geçmişi ve sertifikalar sorgulanır.
Çıktı
Doldurulmuş VSQ, eksik evidenceların listesi, n risk gstergesi.
Aşama 3
Belge Reviewmesi
2–4 iş günü
Ne yapılır?
ISO 27001 sertifikası, penetrasyon testi raporu, KVKK veri inventory, iş sürekliliği planı, security politikaları ve erişim ynetimi kayıtları incelenir ve doğrulanır.
Çıktı
Belge doğrulama matrisi, eksiklik listesi, ilk bulgu taslağı.
Aşama 4
Saha / Uzaktan Denetim
1–2 gün
Ne yapılır?
Kritik tedarikçiler için yerinde ziyaret; yneticiler ve teknik ekiple grüşme, fiziksel security gzlemi, canlı sistem kontrolleri (erişim logu, yetkilendirme, yedekleme).
Çıktı
Denetim notları, evidence fotoğrafları / ekran grüntüleri, szlü olarak teyitlenen bulgular.
Aşama 5
Raporlama
2–3 iş günü
Ne yapılır?
Bulgular uyumsuzluk seviyesine gre sınıflandırılır (kritik / majr / minr / gzlem). Risk skoru hesaplanır. Ynetici zeti ve teknik detay içeren resmi rapor hazırlanır.
Çıktı
Denetim raporu (ynetici zeti + teknik bulgular), tedarikçi risk skoru, neriler matrisi.
Aşama 6
Takip ve İzleme
Durationgelen
Ne yapılır?
Kritik bulgular için kapatma tarihleri belirlenir. Düzeltici faaliyetlerin gerçekleştirildiği doğrulanır (follow-up denetim). Bir sonraki periyodik denetim takvimi planlanır.
Çıktı
Kapalı bulgu kayıtları, güncellenmiş risk skoru, yeniden denetim takvimi, BGYS’ye entegrasyon.
5. Denetimde Reviewnen Control Alanları
Kapsamlı bir tedarikçi security denetimi sekiz ana kontrol alanını inceler. Her alanın denetimde ağırlığı, tedarikçinin iş ilişkisinin niteliğine gre belirlenir:
Bilgi Güvenliği Ynetimi
Kritik- BGYS politikası ve prosedürleri var mı?
- ISO 27001 veya eşdeğer sertifikasyon mevcut mu?
- Üst ynetim bilgi güvenliğini sahipleniyor mu?
- Annual security gzden geçirme yapılıyor mu?
Erişim ve Kimlik Ynetimi
Kritik- En az ayrıcalık ilkesi (least privilege) uygulanıyor mu?
- Çok faktrlü kimlik doğrulama (MFA) kullanılıyor mu?
- Ayrıcalıklı hesaplar (PAM) ynetiliyor mu?
- Grevden ayrılanlarda erişim iptali prosedürü var mı?
Veri Güvenliği ve KVKK
Kritik- Veri işleme inventory mevcut mu?
- Şifreleme (transit + at-rest) uygulanıyor mu?
- Veri sınıflandırma politikası var mı?
- Veri silme ve imha prosedürleri belgelenmiş mi?
Ağ ve Altyapı Güvenliği
high- Security duvarı ve ağ segmentasyonu var mı?
- Security açıkları periyodik taranıyor mu?
- Yama ynetimi süreci tanımlı mı?
- VPN veya sıfır güven erişimi kullanılıyor mu?
İş Durationkliliği ve DR
high- BCP ve DRP belgeli ve test edilmiş mi?
- Yedekleme sıklığı ve kurtarma süreleri (RTO/RPO) tanımlı mı?
- Kritik sistemlerin yedek altyapısı var mı?
- Tatbikat kaydı mevcut mu?
Olay Ynetimi
high- Security olayı raporlama prosedürü var mı?
- customerye bildirim süresi (rn. 72 saat) szleşmede mi?
- Olay kayıtları tutuluyor ve analiz ediliyor mu?
- Geçmiş security olayları açıklanmış mı?
İnsan Kaynağı Güvenliği
Orta- Security farkındalık eğitimi veriliyor mu?
- İşe alımda arka plan kontrolü yapılıyor mu?
- Gizlilik szleşmeleri (NDA) imzalatılıyor mu?
- Çalışanların security politikalarından haberi var mı?
4. Taraf (Alt Tedarikçi) Riski
Orta- Tedarikçinin kendi tedarikçileri var mı?
- Alt yüklenicilere security şartları yansıtılmış mı?
- Kritik veriler alt tedarikçiye aktarılıyor mu?
- Alt yüklenici değişikliklerinde bildirim yükümlülüğü var mı?
6. Yasal ve Standart Zorunluluklar
Tedarikçi security denetimi Türkiye’de artık yalnızca iyi uygulama değil, birden fazla yasal frame kapsamında doğrudan veya dolaylı olarak zorunlu bir yükümlülüktür:
7. Denetim Sonrası: Bulgu Sınıflandırması ve Düzeltici Faaliyetler
Denetim, raporun teslim edilmesiyle bitmez. Bulguların etkin biçimde ynetilmesi, denetimin gerçek değerini üretir. Uluslararası uygulamayla rtüşen drt seviyeli sınıflandırma:
KRİTİK
Anında müdahale gerektiren, veri ihlali veya hizmet kesintisine yol açabilecek bulgular. Paylaşılan hesaplar, açık MFA eksikliği, kritik yamalar uygulanmamış.
Kapatma:
7–30 gün
MAJÖR
Kısa vadede giderilmesi gereken, security kontrollerinde nemli boşluk yaratan bulgular. Belgelenmemiş erişim yetkileri, güncel olmayan risk değerlendirmesi, test edilmemiş DR planı.
Kapatma:
30–90 gün
MİNÖR
Uyum eksikliği oluşturan ancak acil risk yaratmayan bulgular. Politika güncellemeleri, eğitim kayıtlarının eksikliği, süreç dokümantasyon boşlukları.
Kapatma:
90–180 gün
GÖZLEM
Zorunlu olmayan ancak security olgunluğunu artıracak neriler. İyi uygulama tavsiyeleri, otomasyon fırsatları, süreç verimliliği nerileri.
Kapatma:
İsteğe bağlı
Sahadan Gzlem
Türkiye’de yürüttüğümüz ikinci taraf denetimlerinde en sık karşılaştığımız kritik bulgular şunlardır: paylaşılan ynetici hesapları, MFA’nın yalnızca belirli sistemlerde aktif olması, KVKK kapsamında geçerli veri işleme szleşmesinin bulunmaması ve üçüncü taraf erişim loglarının tutulmaması.
— Secure Fors, THY Tedarikçi Ekosistemi ve Sektrel Denetim Gzlemleri
8. Tedarikçi Security Denetiminde Sık Yapılan Hatalar
Denetim sürecinin etkinliğini düşüren, sahada tekrar eden hatalar:
Sertifikayı denetim yerine koymak
ISO 27001 sertifikası, kapsamın sınırlı olabileceğini gstermez. Sertifika, denetimin yerini tutmaz; tamamlayıcı evidencetır.
Anket cevaplarını doğrulamamak
“MFA kullanıyoruz” cevabı, sistemde aktif olduğu anlamına gelmez. Her kritik kontrol evidence (log, ekran grüntüsü, konfigürasyon) ile doğrulanmalıdır.
4. tarafı (alt tedarikçiyi) grmezden gelmek
Tedarikçinizin kritik verilerinizi kendi alt yüklenicisine aktarması halinde risk kaybolmaz, yalnızca grünmez hale gelir.
Denetimi tek seferlik saymak
İki yıl nce geçen bir tedarikçi bugün risk taşıyor olabilir. Personel değişimi, yeni sistemler, yeni alt yükleniciler security durumunu değiştirir.
Szleşmede denetim hakkı olmadan başlamak
Tedarikçi szleşmesinde “denetim hakkı” maddesi yoksa firma belge paylaşmayı reddedebilir. Denetim hakkı szleşme imzalanmadan nce müzakere edilmelidir.
Düzeltici faaliyetleri takip etmemek
Kritik bulgular raporlandıktan sonra kapatıldığı doğrulanmıyorsa, denetim kağıt üzerinde kalmış demektir. Follow-up süreci denetim kadar nemlidir.
9. Sık Sorulan Sorular
Tedarikçi security denetimi ne sıklıkla yapılmalıdır?
Kritik tedarikçiler (kişisel veri işleyen, kritik sisteme erişen) için yılda en az bir kez denetim nerilir. Orta kritiklik düzeyindeki tedarikçiler için iki yılda bir yeterli olabilir. Tedarikçide nemli bir değişiklik (personel, altyapı, kapsam genişlemesi) sz konusu olduğunda denetim dngüsünden bağımsız olarak yeniden değerlendirme yapılmalıdır.
Denetim uzaktan mı, sahada mı yapılmalıdır?
Her ikisinin de yeri vardır. Kritik tedarikçiler için saha ziyareti tercih edilir; fiziksel security, operasyonel kontroller ve gerçek sistem durumu yalnızca yerinde grülebilir. Orta ve low kritiklikte uzaktan grüşme ve belge incelemesi yeterli olabilir. Belgelerin doldurulup gnderilmesine dayanan tam uzaktan yntem ise evidence doğrulamasını zorlaştırır ve güvenilirliği düşürür.
Tedarikçim denetimi kabul etmezse ne yapmalıyım?
Bu başlı başına bir risk sinyalidir. Önce szleşmede denetim hakkı maddesinin bulunup bulunmadığı kontrol edilmelidir. Varsa hukuki yol açık, yoksa müzakere edilmelidir. Tedarikçi hâlâ direniyor ve kritik verilere erişimi varsa, bağımsız security belgesi (ISO 27001, SOC 2) sunması talep edilmeli; sunamıyorsa tedarikçi değişimi değerlendirilmelidir.
Küçük bir tedarikçiyi de denetlemeliyim?
Tedarikçinin büyüklüğü değil, eriştiği verinin ve sistemin kritikliği belirleyicidir. Kişisel sağlık verisine erişen iki kişilik bir yazılım firması, ofis kırtasiyesi tedarik eden büyük bir firmadan çok daha kapsamlı denetim gerektirebilir. Kritiklik matrisini boyuta değil, erişim ve veri türüne gre kurun.
Tedarikçi denetimi için iç ekibim yeterli mi, yoksa dış danışman mı almalıyım?
İç ekipte bilgi güvenliği uzmanlığı, denetim metodolojisi ve yeterli zaman varsa bazı denetimler iç kaynaklarla yürütülebilir. Ancak dış danışman; bağımsız bakış açısı, deneyimli denetim metodolojisi, sektr kıyaslaması ve tedarikçiyle ilişkiyi etkilememe avantajı sağlar. Kritik tedarikçiler, düzenleyici uyum gerektiren durumlar ve ilk kez oluşturulan TPRM programı için dış uzmanlık tercih edilmelidir.
