Tedarikçi Siber Risk Valuelendirmesi Nedir ?

🕒 Okuma süresi: ~9 dakika | Kategori: TPRM / Tedarikçi Güvenliği

TPRM Supplier Denetimi ISO 27001 A.5.19 Risk Ynetimi KVKK NIS2

Kendi sisteminiz ne kadar güvenli olursa olsun, bir tedarikçinizin açığı tüm kurumunuzu riske atabilir. SolarWinds saldırısında 18.000’den fazla kuruluş etkilendi — bunların büyük çoğunluğunun kendi iç sistemleri sağlamdı. Tedarikçi siber risk değerlendirmesi, bu zincirleme tehlikeyi kr nokta olmaktan çıkarır.

%62

Veri ihlallerinin üçüncü taraflardan kaynaklanma oranı (IBM, 2024)

$4.9M

Tedarik zinciri kaynaklı ihlalin ortalama maliyeti (USD, 2024)

%58

Şirketlerin tedarikçilerini düzenli denetlemediğini belirtiyor

72 saat

ISO 27001 ve NIS2’nin olay bildirimi için ngrdüğü azami süre

Bu rehber; bir tedarikçiyle ilişkiye geçmeden nce veya mevcut ilişkilerinizi gzden geçirirken uygulamanız gereken 6 adımlı değerlendirme sürecini, doğru metodoloji seçimini, Türkiye’ye zgü KVKK boyutunu ve somut infografikleri bir arada sunuyor.

Tedarikçi Siber Risk Valuelendirmesi Neden Farklıdır?

Klasik siber security risk değerlendirmesi kendi varlıklarınıza odaklanır. Tedarikçi odaklı değerlendirme ise sizi başkasının sisteminden kaynaklanabilecek tehditlere karşı korur. Bu iki süreç birbirini tamamlar; biri diğerinin yerini tutamaz.

⚠ Kritik Nokta — ISO 27001:2022 Zorunluluğu

ISO 27001:2022, Madde A.5.19–A.5.22 kapsamında tedarikçilerle ilgili politika, szleşme gereklilikleri, tedarik zinciri güvenliği ve sürekli izleme süreçlerini açıkça zorunlu kılmaktadır. Bu bir “iyi uygulama” değil, belgelenmesi gereken sertifikasyon gerekliliğidir.

6 Adımlı Durationç — Grsel Özet

Envanter & Kritiklik Sınıflandırması

Metodoloji & Kriter Belirleme

Security Anketi Sendimi

Yanıt Analizi & Boşluk Tespiti

Risk Kararı

Durationkli İzleme

Adım Adım Uygulama Rehberi

1Adım

Tedarikçi Envanteri Oluşturun ve Kritiklik Düzeyi Atayın

Valuelendirmeye başlamadan nce hangi tedarikçilerin kapsama alınacağını belirlemeniz gerekir. All tedarikçiler eşit risk taşımaz; kritiklik sınıflandırması zaman ve bütçenizi doğru ynlendirmenizi sağlar.

KRİTİK (A)

Kişisel veri / kritik altyapı erişimi

Tam denetim + anlık izleme

YÜKSEK (B)

Company ağa uzaktan erişim

Annual tam değerlendirme

ORTA (C)

Sınırlı veri / fiziksel erişim

Standart anket yeterli

DÜŞÜK (D)

Dijital erişimi olmayan

Szleşme maddesi yeterli

Düzey	Tanım	Örnek Tedarikçi	Valuelendirme
KRİTİK A	Kişisel veri, deme verisi veya kritik altyapıya erişim	ERP sağlayıcısı, bulut hosting, deme aracısı	Tam denetim + sürekli izleme
YÜKSEK B	Company ağa veya sistemlere uzaktan erişim	Yazılım bakım firması, ynetilen IT hizmetleri	Annual tam değerlendirme
ORTA C	Çok sınırlı veri erişimi veya fiziksel tesise giriş	Kargo firması, security şirketi	Standart anket
DÜŞÜK D	Dijital erişimi olmayan mal/hizmet sağlayıcı	Kırtasiye, temizlik şirketi	Szleşme maddesi yeterli

2Adım

Metodoloji ve Risk Kriterlerini Belirleyin

Valuelendirmenin güvenilir olabilmesi için tekrarlanabilir bir metodoloji seçin. En yaygın iki yaklaşım:

Nitel analiz: Düşük / Orta / high / Kritik kategorik puanlama. Uygulaması hızlı, uzmanlık gerektirmez; çoğu Türk şirketi için ideal başlangıç noktasıdır.
FAIR metodolojisi (nicel): Riskleri parasal kayıp olasılığına çevirir. Ynetim kurulu sunumlarında güçlüdür; daha fazla veri gerektirir.

Nitel Matris (Olasılık × Etki)ISO 27001 Uyumu

FAIR (Factor Analysis of Information Risk)Nicel Doğruluk

NIST RMF (Risk Management Framework)Kapsamlılık

OCTAVE AllegroÖrgütsel Uyum

💡 Öneri

Türkiye lçeğindeki çoğu şirket için nitel matris + ağırlıklı puanlama kombinasyonu hem uygulanabilir hem de ISO 27001 denetim evidenceı olarak kabul grmektedir. Her risk için olasılık (1–5) × etki (1–5) çarpımıyla risk skoru hesaplayın.

3Adım

Security Anketi Sendin

Anket, tedarikçinin kendi security duruşunu beyan ettiği belgedir. Standartlaşmış soru seti hem karşılaştırmayı hem hukuki tutarlılığı sağlar.

🔒 Erişim Controlü

MFA, ayrıcalıklı erişim, parola politikası

📊 Veri Ynetimi

Şifreleme, yedekleme, sınıflandırma

⚠ Olay Ynetimi

IR planı, test sıklığı, bildirim SLA

📍 Ağ Güvenliği

Segmentasyon, firewall, IDS/IPS

👥 İnsan Güvenliği

Farkındalık eğitimi, background check

📄 Uyumluluk

ISO 27001, KVKK, sertifika durumu

⚠ Kritik Nokta

Tedarikçiden ISO 27001 sertifikası veya KVKK VERBIS kaydı talep edin. Bu belgeler anket yanıtlarını en hızlı biçimde doğrulamanızı sağlar. Küçük tedarikçilerde sertifika yoksa bağımsız sızma testi raporu veya dolduğu üçüncü taraf denetim bulguları alternatif evidence olarak kabul edilebilir.

4Adım

Yanıtları Valuelendirin ve Boşlukları Tespit Edin

Anket yanıtları alındıktan sonra her alanı nceden tanımladığınız kriterlerle karşılaştırın. Basit boşluk puanlama tablosu:

Control Alanı	Beklenen	Supplier Durumu	Boşluk (0–3)	Eylem
Çok faktrlü kimlik doğrulama	All kritik sistemlerde	Yalnızca VPN’de	2	Koşullu kabul
Yama ynetimi	30 günde kritik yamalar	Tanımsız süreç	3	Yerinde denetim
Olay müdahale planı	Belgelenmiş + test edilmiş	Belgelenmiş, test edilmemiş	1	İyileştirme taahhüdü
Şifreleme (data at rest)	AES-256 veya eşdeğeri	Uygulanıyor, belgelenmemiş	1	Belgeleme talebi
Alt-tedarikçi ynetimi	Onaylı liste + szleşme	Mevcut değil	3	Yerinde denetim

Toplam boşluk skoru 8 veya üzeri → yerinde teknik denetim zorunludur. 4–7 arası → koşullu kabul. 0–3 → anket evidenceı yeterli.

5Adım

Risk Kararı Verin: Karar Ağacı

Valuelendirme sonucunda her tedarikçi için belgelenmiş bir karar üretin:

🕐 Risk Karar Ağacı

Tedarikçi kritiklik düzeyi A mı?

→

EVET → Tam teknik denetim zorunlu

HAYIR → Anket + belge kontrolü yeterli

Boşluk skoru 8 veya üzeri mi?

→

EVET → Yerinde denetim talep et

HAYIR → Sonraki soruya geç

Tedarikçi iyileştirme taahhüdü veriyor mu?

→

EVET → Koşullu Kabul

HAYIR → Red / Alternatif Ara

Boşluk skoru 0–3, belge tamamsa?

→

EVET → Kabul

HAYIR → Azaltma (ek szleşme maddesi)

📄 ISO 27001 Denetim Notu

Bu kararlar hem üst ynetime sunulacak risk raporu hem de denetimde evidence olarak kullanılır. Her karar tarih, gerekçe ve sorumlu bilgisiyle birlikte risk kaydına işlenmelidir.

6Adım

Durationkli İzleme ve Periyodik Yeniden Valuelendirme

Tedarikçi riski statik değildir. Bir tedarikçi bugün güvenli olsa da yarın ihlale maruz kalabilir.

Supplier Düzeyi	İzleme Sıklığı	Yeniden Valuelendirme	Araç
KRİTİK A	Durationkli (otomatik)	6 ayda bir + olay sonrası	SecurityScorecard / BitSight
YÜKSEK B	Aylık rapor	Yılda bir	Anket yenilemesi
ORTA C	Annual gzden geçirme	2 yılda bir	Kendi kendine değerlendirme

⚠ NIS2 ve DORA Uyumu

2025 itibarıyla yürürlükteki NIS2 direktifi ve DORA düzenlemesi, AB’ye hizmet veren Türk şirketlerinden tedarikçi izleme sürecini belgelenmiş biçimde ynetmelerini bekliyor. Szleşmelerinizde 72 saatlik olay bildirim yükümlülüğü klozunun bulunması artık standart gereklilik haline geldi.

Türkiye Boyutu: KVKK ve Tedarikçi Riski

Türkiye’deki şirketler için tedarikçi siber riski salt teknik bir mesele değildir; doğrudan KVKK sorumluluğu taşır.

Durum	KVKK Yükümlülüğü	Riskin Sahibi
Tedarikçi kişisel veri işliyorsa	Szleşmede security maddeleri zorunlu (Md. 12)	Veri Sorumlusu = Sizin şirketiniz
Tedarikçi kaynaklı veri ihlali	72 saat içinde KVKK Kurulu’na bildirim (Md. 12/5)	Veri Sorumlusu = Sizin şirketiniz
Yurt dışı tedarikçiye veri aktarımı	Yeterlilik kararı veya açık rıza (Md. 9)	Veri Sorumlusu + Tedarikçi
Tedarikçi VERBIS’te kayıtlı değilse	Veri işleyenden kayıt belgesi talebi nerilir	Risk değerlendirmeye dahil edilmeli

💡 Pratik Hatırlatıcı

Tedarikçi security anketinize “Kişisel veri ihlali yaşandığında 72 saat içinde bildirim yükümlülüğünü taahhüt ediyor musunuz?” sorusunu ekleyin. Bu maddenin szleşmeye yansıtılması hem KVKK hem NIS2 uyumunu destekler.

Sık Sorulan Sorular

Kaç tedarikçiyi değerlendirmem gerekiyor? All tedarikçi listenizi kritiklik düzeyine gre sınıflandırın; yalnızca A ve B kategorisindekiler için tam değerlendirme yapın. Orta lçekli bir şirkette bu sayı genellikle 10–30 tedarikçiyle sınırlı kalır.

Valuelendirme ne sıklıkla yapılmalı? ISO 27001, risk değerlendirmenizi “planlı aralıklarla veya nemli değişiklikler gerçekleştiğinde” yenilemenizi zorunlu kılıyor. Kritik tedarikçiler için yılda en az bir kez ve yeni sistem entegrasyonu veya kapsam genişlemesi gibi değişikliklerde ek değerlendirme nerilir.

Tedarikçim anketi doldurmayı reddederse ne yapmalıyım? Bu durum başlı başına nemli bir bulgu olarak risk kaydına işlenmelidir. Kritik bir tedarikçi sz konusuysa szleşmenin yenilenmesi veya alternatif aranması gündeme gelebilir. Yanıt vermeyen tedarikçiyi “uyumsuz” kategorisinde değerlendirin.

Küçük tedarikçilerden ISO 27001 sertifikası talep etmek gerçekçi mi? Sertifika zorunlu değil; eşdeğer güvence yeterlidir: bağımsız sızma testi raporu, doldurulmuş security anketi veya yerinde kısa denetim. Important olan belgelenmiş evidence, yalnızca sertifika değil.

Bu süreç için hazır bir şablon var mı? Evet. Secure Fors olarak tedarikçi security anketi şablonu ve boşluk analizi matrisini ücretsiz paylaşıyoruz. Aşağıdaki contact formundan talep edebilirsiniz.

Sonuç

Tedarikçi siber risk değerlendirmesi, “bir kez yapılıp raflanacak” bir kontrol listesi değildir. Doğru kurgulandığında ISO 27001 denetimlerinizde evidence, KVKK uyumunuzda güvence ve iş sürekliliğinizde kalkan işlevi grür.

6 adımlık bu frameyi kendi kurumunuza uyarlamak, mevcut süreçlerinizi olgunlaştırmak veya bağımsız bir tedarikçi denetimi başlatmak istiyorsanız Secure Fors ekibiyle contacte geçin.