Siber Security  ·  Risk Ynetimi  ·  Uyumluluk

Üçüncü Taraf Risk Ynetimi (TPRM) What Is It?

Tedarikçi risklerini anlayın, değerlendirin ve kontrol altına alın — ISO 27001, KVKK ve DDO BIGR perspektifiyle eksiksiz rehber

Secure Fors  ·  Mart 2026  ·  ≈ 12 dk okuma

---

1. Üçüncü Taraf Risk Ynetimi (TPRM) What Is It?

Üçüncü taraf risk ynetimi (TPRM), bir kuruluşun iş ortakları, tedarikçiler, alt yükleniciler, yazılım satıcıları ve danışmanlar gibi dış taraflarla kurduğu ilişkilerden doğan riskleri sistematik biçimde tanımlama, değerlendirme, izleme ve azaltma sürecidir. İngilizce’de “Third-Party Risk Management” olarak bilinen bu disiplin; tedarikçi risk ynetimi (Vendor Risk Management – VRM) ve tedarik zinciri risk ynetimi (Supply Chain Risk Management – SCRM) ile yakından ilişkilidir.Bir tedarikçi ya da iş ortağı, şirketinizin verilerine, sistemlerine veya süreçlerine herhangi bir lçüde erişim sağlıyorsa, bu erişim beraberinde operasyonel, finansal, yasal ve itibar riskleri getirir. TPRM programı; bu risklerin tüm tedarikçi ilişkisi boyunca — ilk değerlendirmeden szleşme sonlandırmasına kadar — grünür ve ynetilebilir kalmasını sağlar.

“Bir kuruluşun security zinciri, en zayıf halkası olan tedarikçisi kadar güçlüdür.”

2. TPRM Neden Bu Kadar Kritik?

Modern işletmeler büyük lçüde dış kaynaklara bağımlıdır. Bulut altyapısından bordro ynetimine, hukuki consultingtan yazılım geliştirmeye kadar pek çok kritik iş süreci artık üçüncü taraflarca yürütülmektedir. Bu bağımlılık operasyonel verimliliği artırırken, kontrol yüzeyini de genişletir.Araştırmalar, kuruluşların yaşadığı veri ihlallerinin nemli bir blümünün doğrudan tedarikçi zayıflıklarından kaynaklandığını ortaya koymaktadır. SolarWinds, Target ve Kaseya ihlalleri, tedarik zinciri saldırılarının ne lçüde yıkıcı olabileceğini küresel kamuoyuna gstermiştir.

🛡️ Siber Security Riski Tedarikçi sistemlerindeki security açıkları, ktü amaçlı yazılımların doğrudan şirket ağınıza sızmasına zemin hazırlayabilir.	⚖️ Yasal ve Uyumluluk Riski KVKK, ISO 27001 ve BDDK gibi düzenlemeler, tedarikçi uyumluluğunu kuruluşun sorumluluğu olarak tanımlar.
🔗 Operasyonel Risk Kritik bir tedarikçinin hizmet kesintisi, iş sürekliliğini doğrudan tehdit edebilir.	💬 İtibar Riski Tedarikçi kaynaklı bir skandal veya ihlal, müşteri güvenini ve marka değerini ciddi biçimde zedeler.
💰 Finansal Risk Tedarikçi iflas veya fiyat artışları, operasyonel maliyetleri ngrülemeyen düzeylere taşıyabilir.	🌍 Coğrafi ve Jeopolitik Risk Farklı ülkelerde yerleşik tedarikçiler, yerel düzenleyici baskılar ve jeopolitik gelişmelerden etkilenebilir.

3. Tedarikçi Risklerinin Türleri

TPRM kapsamında ele alınan riskler tek boyutlu değildir. Etkili bir program, aşağıdaki risk kategorilerini bütüncül biçimde ynetir:

Bilgi Güvenliği ve Siber Riskler

Tedarikçinin bilgi güvenliği olgunluk seviyesi, veri işleme pratikleri, erişim kontrolleri ve olay ynetimi kapasitesi doğrudan sizin risk profilinizi etkiler. Özellikle hassas kişisel verilere ya da kritik sistemlere erişimi olan tedarikçiler için bu boyut birincil ncelik taşır.

Gizlilik ve Kişisel Veri Riskleri

Veri işleyen tedarikçiler; KVKK (6698 sayılı Kanun), GDPR ve diğer gizlilik mevzuatları kapsamında kişisel verileri yasal gerekliliklerle işlemek zorundadır. Uyumsuz bir veri işleyen, şirketin idari para cezasına ve hukuki sorumluluğa maruz kalmasına yol açar.

Operasyonel ve İş Durationkliliği Riskleri

Tedarikçinin kendi iş sürekliliği planları, felaket kurtarma kapasitesi ve servis seviyesi taahhütleri (SLA), müşterinize verdiğiniz hizmet kalitesini doğrudan belirler.

Yasal ve Szleşmesel Riskler

Szleşme koşullarının yeterliliği, fikri mülkiyet sahipliği, fesih hükümleri ve yaptırım mekanizmaları, uzun vadeli ilişkinin hukuki sağlamlığını güvence altına alır.

Finansal ve Stratejik Riskler

Tedarikçinin finansal istikrarı, piyasadaki konumu ve uzun vadeli stratejik uyumu, ilişkinin sürdürülebilirliğini belirleyen unsurlardır.

4. TPRM Yaşam Dngüsü: 7 Temel Aşama

TPRM bir olay değil, sürekli dnen bir süreçtir. Sağlam bir program, tedarikçiyle ilişkinin her aşamasında aktif kontrolleri işler hâlde tutar.

5. TPRM, VRM ve SCRM: Farklar Neler?

Bu üç kavram zaman zaman birbirinin yerine kullanılsa da aralarında nemli nüanslar vardır:

Kavram	Kapsam	Odak Noktası	Tipik Kullanım
TPRM	All harici taraflar	Risk ynetimi süreci	GRC, Denetim, Uyumluluk
VRM	Tedarikçi / satıcı odaklı	Satın alma ve szleşme	Satın alma, Hukuk
SCRM	Tedarik zincirinin tamamı	Operasyonel süreklilik	Lojistik, İş Durationkliliği

Günümüzde olgun kuruluşlar bu üç perspektifi tek bir bütünleşik programa dahil ederek “Genişletilmiş Company Risk Ynetimi” anlayışına geçmektedir.

6. TPRM Çerçeveleri ve Düzenleyici Gereklilikler

TPRM boşlukta var olan bir uygulama değildir; çeşitli uluslararası standartlar ve düzenleyici gerekliliklerle doğrudan ilişkilidir.

7. Türkiye’de TPRM: ISO 27001, KVKK ve DDO BIGR

Türk mevzuatı ve düzenleyici ortamı, TPRM’yi kurumsal zorunluluk hâline getiren birden fazla gereklilik içermektedir.

ISO 27001:2022 ve Tedarikçi Güvenliği

ISO 27001:2022’nin Ek A Control 5.19 ila 5.22 arasındaki maddeler, bilgi güvenliğinin tedarikçi ilişkilerinde nasıl ynetileceğini açıkça tanımlar. Bu kontroller; tedarikçi seçim kriterleri, security şartlarını içeren szleşme maddeleri, tedarikçi hizmetlerinin izlenmesi ve tedarik zinciri güvenliğini kapsar. Belgelenmiş bir tedarikçi ynetim prosedürü ve periyodik tedarikçi değerlendirmeleri, sertifikasyon denetimleri sırasında titizlikle incelenen alanlardır.

KVKK (6698 Sayılı Kişisel Verilerin Korunması Kanunu)

KVKK, veri sorumlusunun kişisel veri işleme faaliyetlerini dışarıdan yaptırması durumunda veri işleyen üçüncü tarafın yeterli güvenceleri sağlamasını şart koşar. Veri işleme szleşmesinin (DPA) hazırlanması, yurt dışı veri aktarımlarında yeterli koruma mekanizmalarının kurulması ve veri ihlali bildirim yükümlülüklerinin tedarikçilere yansıtılması TPRM programının ayrılmaz bileşenleridir. Kişisel Verileri Koruma Kurulu’nun 2026 başında yayımladığı yapay zekâ rehberi, yapay zekâ çzümü sunan üçüncü tarafların da bu kapsamda ele alınmasını ngrmektedir.

DDO BIGR (Bilgi Güvenliği Rehberi)

Dijital Dnüşüm Ofisi’nin yayımladığı BİGR, kamu kurumları ve kritik altyapı sektründe faaliyet gsteren işletmeler için tedarikçi denetim ve değerlendirme süreçlerini düzenler. Özellikle kritik altyapı hizmeti sunan ya da bu hizmetlerin tedarikçisi konumundaki firmalar için uyumsuzluk ciddi yaptırımlar doğurabilir.

BDDK Rehberleri

Bankacılık ve finans sektründe faaliyet gsteren kuruluşlar için BDDK’nın bilgi sistemleri ynetimi ve hizmet dış kaynak kullanımı rehberleri, tedarikçi risk ynetimine zel gereklilikler içermektedir. Dış kaynak hizmetlerin ynetimi, yedek tedarikçi planlaması ve tedarikçi bağımlılığı riskinin azaltılması bu rehberlerin merkezinde yer alır.

8. TPRM Olgunluk Seviyeleri

Kuruluşunuzun TPRM’deki gelişim düzeyini anlamak, doğru yatırım kararları vermenizi sağlar:

Seviye	Ad	Temel Özellikler
1	Başlangıç	Reaktif yaklaşım, yazılı süreç yok, tedarikçi inventory eksik.
2	Tekrarlanabilir	Temel anketler mevcut, bazı szleşme maddeleri eklendi, ancak tutarsız uygulama.
3	Tanımlı	Yazılı TPRM politikası, risk sınıflandırması, standart değerlendirme süreçleri var.
4	Ynetilen	KPI’larla lçülen program, sürekli izleme araçları aktif, 4. taraf riski grünür.
5	Optimize	Tehdit istihbaratıyla beslenmiş proaktif program, otomasyon yüksek, iş kararlarıyla entegre.

Türkiye’deki kuruluşların büyük çoğunluğu 2 ile 3 arasında konumlanmaktadır. ISO 27001 sertifikasına sahip firmalar genellikle 3. seviyeye ulaşmış olmakla birlikte, 4. ve 5. seviyeye geçiş için araç ve süreç olgunluğuna ihtiyaç duyulmaktadır.

9. TPRM Araçları ve Teknoloji

Küçük ve orta lçekli organizasyonlar TPRM’yi başlangıçta elektronik tablolar ve şablonlarla ynetebilir. Ancak tedarikçi sayısı ve riskin karmaşıklığı arttıkça, amaca zel araçlara ihtiyaç doğar.

Risk Valuelendirme Platformları

ServiceNow GRC, OneTrust, Prevalent ve Whistic gibi platformlar; tedarikçi anketlerini otomatize eder, risk puanlamalarını hesaplar ve denetim izlerini saklar. Bu araçlar sayesinde yüzlerce tedarikçiyi merkezi bir kontrol panosundan ynetmek mümkün hâle gelir.

Durationkli İzleme Çzümleri

BitSight, SecurityScorecard ve RiskRecon gibi araçlar, tedarikçilerin harici saldırı yüzeyini sürekli tarar ve güncel bir security skoru üretir. Bu skorlar, periyodik anketlere gre çok daha gerçek zamanlı bir risk grünümü sağlar.

Kontrakt Ynetimi ve Otomasyon

Szleşmelerde security maddelerinin tutarlı biçimde yer alması ve szleşme yenileme tarihlerinin takibi için kontrakt yaşam dngüsü ynetimi (CLM) araçları TPRM programını destekler.

10. En İyi Pratikler ve Yaygın Hatalar

11. Sonuç

Üçüncü taraf risk ynetimi (TPRM), dijital ekonomide faaliyet gsteren her kuruluş için artık bir tercih değil, zorunluluktur. Tedarik zinciri saldırılarının giderek sofistike hâle gelmesi, veri koruma mevzuatlarının sıkılaşması ve düzenleyici baskının artmasıyla birlikte güçlü bir TPRM programına sahip olmak aynı zamanda rekabetsel avantaj da sağlamaktadır.Türkiye’de ISO 27001 sertifikası, KVKK uyumu ve DDO BIGR gereklilikleri zaten kapsamlı bir TPRM altyapısını zorunlu kılmaktadır. Bu gereklilikleri birbiriyle bütünleşik bir program framesinde ele almak, hem uyumluluk maliyetlerini düşürecek hem de gerçek risk grünürlüğü sağlayacaktır.Kendi TPRM programınızı olgunlaştırmaya nereden başlayacağınızı bilmiyorsanız, tedarikçi inventory oluşturmak ve kritiklik sınıflandırması yapmak en pratik ilk adımdır.

Bu makale Secure Fors tarafından bilgilendirme amaçlı hazırlanmıştır. ISO 27001, KVKK veya DDO BIGR’e ilişkin güncel yasal düzenlemeler için ilgili otoritelerin resmi kaynaklarını incelemenizi neririz. Son güncelleme: Mart 2026.