Bu Yazıda
- Durationç mi Yoksa Olay mı? İki Yaklaşım Arasındaki Uçurum
- Tedarikçi Risk Valuelendirme Durationcinin 6 Temel Aşaması
- Risk Puanlama: Tedarikçiler Nasıl Sıralanır?
- Türkiye’de Legal Obligation Haritası
- Durationcin Sürdürülebilir Olması İçin 5 Temel İlke
- En Sık Yapılan 7 Hata
- Nereden Başlamalısınız? 90 Günlük Başlangıç Planı
- Sık Sorulan Sorular
1. Durationç mi Yoksa Olay mı? İki Yaklaşım Arasındaki Uçurum
Türkiye’deki kurumların büyük çoğunluğu, tedarikçi riskini bir süreç olarak değil bir olay olarak ynetir. Yani tedarikçiyle bir sorun yaşandığında veya ISO 27001 denetimi yaklaştığında harekete geçilir; araya uzun süre sessizlik girer.
Bu reaktif yaklaşımın bedeli ağırdır: Tedarikçi kaynaklı veri ihlalleri ortalama 287 gün sonra fark edilir; tedarik zinciri saldırıları her yıl üç kurumdan birini etkiler; kaçırılan fırsatlarda ise ISO 27001 denetiminde majr uyumsuzluk.
2. Tedarikçi Risk Valuelendirme Durationcinin 6 Temel Aşaması
Etkin bir tedarikçi risk değerlendirme süreci doğrusal değil dngüseldir. Altı aşama ardı ardına tamamlandıktan sonra dngü yeniden başlar:
Tedarikçi Risk Valuelendirme Dngüsü
1
Envanter ve Sınıflandırma
All tedarikçilerin listelenmesi, her birinin kritiklik düzeyi ve erişim kapsamının belirlenmesi. Hangi tedarikçi hangi veriye, hangi sisteme erişiyor?
2
Risk Kriterleri ve Metodoloji
Her tedarikçi kategorisi için değerlendirme boyutlarının (siber security, KVKK, operasyonel, finansal) ve ağırlıklarının belirlenmesi. Puanlama skalası tanımlanır.
3
Bilgi Toplama ve Doğrulama
Security anketi (VSQ), belge talebi, sertifika doğrulama ve gerekli durumlarda saha/uzaktan grüşme. Sadece anket değil — evidence temelli doğrulama.
4
Risk Puanlama ve Önceliklendirme
Toplanan verilerin belirlenen metodolojiye gre puanlanması, tedarikçi risk skorunun hesaplanması ve ncelikli aksiyon gerektiren alanların belirlenmesi.
5
Aksiyon ve Düzeltici Faaliyet
Risk kabul, risk transferi, risk azaltımı veya tedarikçi değişimi kararlarının alınması. high riskli bulgular için tedarikçiyle düzeltici faaliyet planının oluşturulması.
6
Durationkli İzleme ve Dngü Yenileme
Tedarikçi değişikliklerinin izlenmesi, düzeltici faaliyetlerin doğrulanması ve kritiklik düzeyine gre belirlenen takvimde dngünün yeniden başlatılması.
3. Risk Puanlama: Tedarikçiler Nasıl Sıralanır?
Tedarikçi risk puanlama, kişisel kanılara değil lçülebilir kriterlere dayanmalıdır. Tipik bir bilgi güvenliği odaklı risk puanlama modeli iki ana eksende çalışır:
Eksen 1: Olasılık / Tehdit Skoru
Tedarikçinin security olgunluğunun ne kadar low olduğunu lçer. high tehdit skoru = zayıf kontroller.
- Bilgi güvenliği politikası ve BGYS varlığı
- MFA, şifreleme, yama ynetimi uygulaması
- ISO 27001 sertifikası ve kapsam durumu
- Geçmiş security olayları ve açıklık geçmişi
- Personel security eğitimi ve farkındalık düzeyi
Eksen 2: Etki Skoru
Bu tedarikçi kaynaklı bir ihlal ne kadar zarar verir? high etki = critical supplier.
- İşlediği kişisel veri türü ve hacmi (KVKK kritikliği)
- Eriştiği sistem hassasiyeti (kritik altyapı, ERP, CRM)
- İş sürekliliğine etkisi (bu tedarikçi olmadan kaç gün çalışılır?)
- Marka ve itibar riski boyutu
- Tek kaynak bağımlılığı (alternatifi var mı?)
Basit Risk Skoru Formülü
Risk Skoru = Tehdit Puanı (1–5) × Etki Puanı (1–5)
1–5: Düşük | 6–12: Orta | 13–19: high | 20–25: Kritik
| Tedarikçi Türü | Tehdit (1–5) | Etki (1–5) | Skor | Kategori |
|---|---|---|---|---|
| Bulut ERP sağlayıcısı (tüm finansal veriye erişim) | 3 | 5 | 15 | high |
| HR yazılımı (employee kişisel verileri) | 4 | 4 | 16 | high |
| Bakım firması (sınırlı ağ erişimi) | 3 | 3 | 9 | Orta |
| Ofis kırtasiye tedarikçisi (veri/sistem erişimi yok) | 2 | 1 | 2 | Düşük |
Pratik not: Puan modeli karmaşık olmak zorunda değil. Başlangıç için 5×5 matris yeterlidir. Important olan znel değerlendirmeyi değil, belgelenmiş kriterleri kullanmaktır. “Ben bu firmaya güveniyorum” ifadesi, bir risk skoru yerine geçmez.
4. Türkiye’de Legal Obligation Haritası
Tedarikçi risk değerlendirmesi Türkiye’de artık salt “iyi uygulama” değil; birden fazla yasal ve standart framesi tarafından doğrudan ya da dolaylı olarak gerektirilen bir faaliyet haline gelmiştir.
5. Durationcin Sürdürülebilir Olması İçin 5 Temel İlke
Pek çok kuruluş bir kere değerlendirme yapar, bunu yeterli sayar. Oysa tedarikçi risk değerlendirme sürecinin asıl zorluğu başlatmak değil, sürdürmektir. Bu beş ilke, süreci kurumsal refleks haline getirir:
İ1
Politikaya Bağlayın — Yoruma Bırakmayın
Tedarikçi risk değerlendirmesi bir politika dokümanına ve BGYS’ye bağlanmalıdır. Kim ne zaman ne yapacak, hangi tedarikçi hangi sıklıkta değerlendirme alacak — bunlar net yazılı olmalıdır. Yazılmayan süreç yok demektir; hem denetçi hem yasal savunma açısından.
İ2
Szleşmede Denetim Hakkını Önceden Müzakere Edin
Tedarikçiyle szleşme imzalanmadan nce denetim hakkı, ihlal bildirim süresi ve security gereksinimleri szleşmede yer almalıdır. Sonradan eklemek ya imkânsız hale gelir ya da ilişkiyi zorlaştırır. Bu, hukuk ve bilgi güvenliği ekiplerinin birlikte çalışması gereken bir süreç adımıdır.
İ3
Değişim Tetikleyicilerini Tanımlayın
Periyodik değerlendirme dngüsünün yanı sıra, belirli değişimler yeniden değerlendirmeyi otomatik olarak tetiklemelidir: tedarikçide nemli personel değişikliği, yeni alt yüklenici eklenmesi, hizmet kapsamı genişlemesi, tedarikçide security ihlali haberi, sertifika değişikliği. Bu tetikleyiciler politikada yazılı olmalıdır.
İ4
Bulguları Takip Edin — Raporla Bırakmayın
Valuelendirme raporlanıp dosyalandıktan sonra süreç bitmez. Kritik ve majr bulgular için kapatma tarihleri belirlenmeli, düzeltici faaliyetlerin tamamlandığı doğrulanmalı ve bu bilgi BGYS’ye entegre edilmelidir. “Bulduk ama bıraktık” savunması, hukuki açıdan “bilmiyorduk” savunmasından daha güçsüzdür.
İ5
Durationci Satın Almayla, Hukukla ve Üst Ynetimle Entegre Edin
Tedarikçi risk değerlendirmesi yalnızca bilgi güvenliği ekibinin sorumluluğu değildir. Satın alma yeni tedarikçi seçmeden nce security onayını bekler; hukuk szleşme security maddelerini kontrol eder; ynetim critical supplier riskleri hakkında düzenli bilgilendirilir. Entegre olmayan bir süreç, bir blümün “iyi niyetli devinden” te geçemez.
6. En Sık Yapılan 7 Hata
Sahadan derlenen, süreci kağıt üzerinde bırakan veya gerçek bir security değeri üretmesini engelleyen hatalar:
“ISO 27001 sertifikası var, güvendeyiz”
Sertifika kapsamı sınırlı olabilir; sizinle employee birimi kapsamıyor olabilir; sertifika süresi dolmuş olabilir. Sertifika incelemesi değerlendirmenin başlangıcı, sonu değil.
Anketi doldurup dosyalamak
Tedarikçi “MFA kullanıyoruz” der, siz inanırsınız; denetimde evidence yoktur. Her kritik yanıt belge veya ekran grüntüsüyle doğrulanmalıdır.
Sadece yeni tedarikçileri değerlendirmek
5 yıldır çalışılan yazılım firması 3 yıl nce ekibini büyük lçüde değiştirdi, yeni bir veri merkezine taşındı — ama hiç yeniden değerlendirilmedi. Durationkli müşteriler krlük yaratır.
4. tarafı (alt tedarikçiyi) grmezden gelmek
Tedarikçinizin verilerinizi kendi alt yüklenicisine aktarması risk kaybolduğu anlamına gelmez; sadece grünmez hale gelir. Alt yüklenici bildirim yükümlülüğü szleşmede olmalı.
Boyuta gre değil, erişime gre nceliklendirmemek
“Bu firma çok küçük, sorun olmaz” düşüncesi tehlikelidir. İki kişilik bir firma, 10.000 employeeın kişisel verisini işliyorsa critical supplierdir.
Bulgular için aksiyon almamak
Raporda “kritik bulgu: paylaşılan hesaplar” yazıyor ama 6 ay sonra durum aynı. Valuelendirme, kapatma dngüsü olmadan yalnızca kağıt üretir.
Durationci sadece bilgi güvenliği ekibinin omzuna yüklemek
Satın alma ekibi yeni tedarikçiyi imzaladıktan sonra bilgi güvenliğine bildiriyor, szleşmede hiçbir security maddesi yok. Tedarikçi risk ynetimi kurumsal bir süreç olmalı, sadece teknik bir kontrol değil. CISO veya bilgi güvenliği yneticisi, satın alma kararlarına mümkün olduğunca erken dahil edilmelidir.
7. Nereden Başlamalısınız? 90 Günlük Başlangıç Planı
“Mükemmel sistemi rulem, sonra başlayalım” tuzağına düşmeyin. Üç ayda temel bir TPRM programı kurulabilir. İşte evidencelanmış başlangıç yol map:
Nereden Başlamalıyım Sorusuna Sahadan Yanıt
Danışmanlık grüşmelerimizde en sık duyduğumuz cümle şudur: “Tedarikçi risk ynetimi yapmak istiyoruz ama nereden başlayacağımızı bilmiyoruz.” Yanıtımız her zaman aynıdır: Your suppliersin listesini çıkarın ve içlerinden “bu firma yarın veri ihlali yaşasa bizi en fazla etkileyen hangisi?” sorusunu sorun. Oradan başlayın.
— Secure Fors, TPRM Danışmanlık Grüşmelerinden
8. Sık Sorulan Sorular
Tedarikçi risk değerlendirme süreci ile tedarikçi denetimi aynı şey midir?
No, birbirine bağlı ama farklı kavramlardır. Tedarikçi risk değerlendirme süreci; inventory, puanlama, periyodik izleme ve aksiyon dngüsünü kapsayan üst framedir. Tedarikçi denetimi ise bu sürecin içindeki bir alt adımdır — riski doğrulamak için başvurulan evidence toplama yntemidir. Her tedarikçi risk değerlendirmesinde denetim gerekmez; kritiklik düzeyine gre anket, belge doğrulama veya saha denetimi seçilir.
50’den fazla tedarikçimiz var. Hepsini değerlendirmek zorunda mıyız?
Evet, hepsi listelenmelidir — ancak aynı kapsamda değerlendirilmesi gerekmez. Kritiklik matrisi bu sorunu çzer: Kritik tedarikçiler (kişisel veri işleyen, kritik sisteme erişen) tam değerlendirmeye alınırken, low kritiklik kategorisindekiler için standart anket veya sertifika kontrolü yeterlidir. Kapsam doğru belirlenirse 50 tedarikçinin yalnızca 8–10 tanesi derin değerlendirme gerektirebilir.
Tedarikçi risk değerlendirme programı kurmak ne kadar sürer?
Temel bir program 90 günde kurulabilir. Pilot değerlendirme 4–8 hafta alır. Programın olgunlaşması — yani tüm critical supplierlerin değerlendirilmesi, politikaların tamamlanması ve dngünün otururluk kazanması — genellikle 6–12 ay sürer. Mükemmeli beklemeyin; küçük ama gerçek bir başlangıç, büyük ama hayali bir plan değeri.
Bu süreci ynetmek için zel bir yazılım şart mı?
No. Başlangıç için Excel veya benzeri bir araç yeterlidir: Tedarikçi inventory, risk skoru sütunları, değerlendirme tarihleri ve bulgu takibi bir elektronik tabloya sığar. Tedarikçi sayısı ve değerlendirme sıklığı arttıkça GRC araçları veya zelleşmiş TPRM platformları değer yaratmaya başlar. Ama yazılım hiçbir zaman metodolojinin ve politikanın nüne geçemez.
Tedarikçi risk değerlendirme programımızı kurmak için dış destek almak zorunda mıyız?
Zorunlu değil, ama bazı durumlarda güçlü bir seçim olabilir: ISO 27001 sertifikasyon veya gzetim denetimine hazırlık süreci, iç ekipte TPRM uzmanlığının bulunmaması, büyük tedarikçi portfyü ve zaman baskısı, ya da denetçiye bağımsızlık evidenceı sunma ihtiyacı. İç ekip metodoloji ve politikayı kurarken, bağımsız danışman critical supplier değerlendirmelerini yürütüyor olabilir — hibrit model çoğu durumda en verimli çzümdür.
