Bu Yazıda
- TPRM Nedir ve Neden Önemlidir?
- Türkiye’de Üçüncü Taraf Tehdidi: Güncel Veriler
- TPRM Programının 5 Temel Bileşeni
- Tedarikçi Risk Değerlendirme Süreci (Adım Adım)
- ISO 27001 ve KVKK’nın TPRM’e Etkisi
- Sektre Özel TPRM Gereksinimleri
- TPRM Olgunluk Seviyeleri
- Sık Sorulan Sorular
1. TPRM Nedir ve Neden Önemlidir?
Üçüncü taraf siber risk ynetimi (TPRM), bir kuruluşun tedarikçileri, iş ortakları, yazılım sağlayıcıları ve dış hizmet firmalarından kaynaklanan siber security risklerini sistematik biçimde tanımlama, değerlendirme, izleme ve azaltma sürecidir.
Modern iş ortamında hiçbir şirket tek başına çalışmaz. Bulut altyapısından muhasebe yazılımına, lojistik ortaklarından consulting firmalarına kadar onlarca üçüncü tarafla veri paylaşılır, sistemler entegre edilir. Her biri potansiyel bir security açığı kapısıdır.
Temel Tanım
“TPRM, ‘Bir zincir en zayıf halkası kadar güçlüdür’ ilkesinin siber securityteki uygulamasıdır. Kendi sisteminizi ne kadar iyi korusanız da, tedarikçinizin zafiyeti sizin ihlalınız olabilir.”
Küresel ve Türkiye Verisi — 2025
1/3
Son 1 yılda tedarik zinciri saldırısına maruz kalan kurum oranı
%60+
Büyük veri ihlallerinin üçüncü taraf security açığından kaynaklandığı oran
240B$
2026 küresel siber security harcama tahmini (Gartner)
Kaynak: Kaspersky Global Araştırması 2025, Gartner 2026 Tahmini
2. Türkiye’de Üçüncü Taraf Tehdidi: Güncel Tablo
Türkiye’deki kurumların üçüncü taraf riskine yaklaşımı henüz olgunlaşma sürecindedir. Kaspersky’nin 2025 araştırması, Türk işletmelerinin ciddi yapısal boşluklarını gzler nüne sermektedir:
Türkiye’deki Kritik Boşluklar
Yüksek Oran
Yüklenici szleşmelerinde net BT güvenliği yükümlülüğü bulunmayan Türk işletme oranı
Uzman Açığı
Nitelikli BT security uzmanı eksikliği, tedarik zinciri riskini izleme kapasitesini kısıtlıyor
Reaktif Yaklaşım
Kurumlar tedarikçi tehditlerini çoğunlukla olay gerçekleştikten sonra fark ediyor
Artan Talep
2025 Siber Güvenlik Kanunu ve KVKK baskısıyla TPRM farkındalığı hızla yükseliyor
3. TPRM Programının 5 Temel Bileşeni
Etkili bir TPRM programı tek seferlik bir değerlendirmeden ibaret değildir. Aşağıdaki beş bileşen sürekli employee, entegre bir yapı oluşturur:
01
Tedarikçi Envanteri ve Sınıflandırma
Tüm tedarikçilerin sistematik olarak listelenmesi, kritiklik düzeylerinin (yüksek / orta / düşük) belirlenmesi. Hangi tedarikçi hangi sisteme erişiyor, hangi veriyi işliyor?
02
Risk Değerlendirmesi (Due Diligence)
Güvenlik anketi (VSQ), belge incelemesi, teknik kontroller ve saha denetimi ile her tedarikçinin security olgunluğunun lçülmesi. ISO 27001 sertifikası, penetrasyon testi raporları, KVKK uyumu gibi kanıtlar talep edilir.
03
Szleşme Güvencesi
Tedarikçi szleşmelerine minimum security gereksinimlerinin, olay bildirim yükümlülüklerinin ve denetim haklarının eklenmesi. KVKK kapsamında veri işleme szleşmeleri (VİS) zorunludur.
04
Sürekli İzleme
Tedarikçilerin security durumunun periyodik olarak yeniden değerlendirilmesi. Siber tehdit istihbaratı araçlarıyla tedarikçilerin dijital ayak izinin izlenmesi. Kritik tedarikçiler için yıllık, diğerleri için iki yılda bir denetim.
05
Olay Müdahale ve İş Sürekliliği Entegrasyonu
Tedarikçi kaynaklı bir security olayında nasıl yanıt verileceğinin nceden planlanması. Kritik tedarikçiler için yedek tedarikçi stratejisi ve iş sürekliliği planına entegrasyon.
4. Tedarikçi Risk Değerlendirme Süreci — Adım Adım
Sahadan edindiğimiz deneyime gre etkin bir tedarikçi security değerlendirmesi drt aşamada yürütülür:
Kapsam ve Sınıflandırma
- Tüm tedarikçilerin listelenmesi
- Kritiklik skoru belirleme (veri erişimi, sistem entegrasyonu, iş etkisi)
- Denetim ncelik sırası oluşturma
Güvenlik Anketi (VSQ)
- Politikalar ve prosedürler
- Teknik kontroller (erişim ynetimi, şifreleme, yedekleme)
- Sertifikalar ve uyum belgelerinin doğrulanması
- Kendi tedarikçi zincirinin (4. taraf) değerlendirilmesi
Saha Denetimi ve Doğrulama
- Yerinde denetim veya uzaktan grüşme
- Kanıt toplanması ve belge incelemesi
- Bulgular ve uyumsuzlukların raporlanması
- Risk skoru güncelleme
Düzeltici Faaliyet ve İzleme
- Uyumsuzluklar için düzeltici aksiyon planı
- Takip denetimi (follow-up audit)
- Periyodik yeniden değerlendirme takvimi
- Sonuçların tedarikçi ynetim planına entegrasyonu
5. ISO 27001 ve KVKK’nın TPRM’e Etkisi
Türkiye’de faaliyet gsteren kurumlar için TPRM, soyut bir iyi uygulama değil — yasal ve standart zorunluluğudur.
| Çerçeve | İlgili Madde / Control | Tedarikçi Güvenliği Gereksinimi |
|---|---|---|
| ISO 27001:2022 | Madde 8.4 Ek A 5.19 – 5.22 | Tedarikçi ilişkilerinin politikayla ynetilmesi, security gereksinimlerinin szleşmelere yansıtılması, tedarikçi hizmetlerinin izlenmesi ve gzden geçirilmesi zorunludur. |
| KVKK | Madde 12 Veri güvenliğine ilişkin yükümlülükler | Kişisel veri işleyen tedarikçilerle Veri İşleme Szleşmesi (VİS) zorunludur. Veri sorumlusu, veri işleyen konumundaki tedarikçinin güvenliğini sağlamakla yükümlüdür. |
| Siber Güvenlik Kanunu 2025 | Kritik Altyapı Tedarik Zinciri Güvenliği | Kritik altyapı işleten kurumların tedarik zinciri güvenliğini sağlaması ve denetlemesi zorunlu kılınmaktadır. Mart 2025’te yürürlüğe girmiştir. |
| BDDK / BİGR | Dış Hizmet Alımı Risk Ynetimi Ynetmeliği | Bankacılık ve finans sektründe dış hizmet sağlayıcıların security yükümlülükleri kapsamlı biçimde düzenlenmiştir. Yıllık denetim zorunluluğu getirilmiştir. |
6. Sektre Özel TPRM Gereksinimleri
Her sektrün kendine zgü üçüncü taraf riski ve yasal gereksinimleri vardır:
7. TPRM Olgunluk Seviyeleri: Şirketiniz Nerede?
TPRM bir ikilik (var/yok) değil, olgunluk yolculuğudur. Kurumunuzun hangi seviyede olduğunu aşağıdaki modelle değerlendirin:
SEVİYE 1
Reaktif
Tedarikçi listesi yok. Değerlendirme ancak olay yaşandığında yapılıyor. Szleşmelerde security maddesi bulunmuyor. Yasal uyum riski yüksek.
SEVİYE 2
Farkında
Tedarikçi inventory mevcut. Kritik tedarikçiler için temel security anketi yapılıyor. Szleşmelere bazı security maddeleri eklenmiş ancak izleme sistematik değil.
SEVİYE 3
Tanımlı
Resmi TPRM politikası var. Tüm critical supplierler değerlendiriliyor. Periyodik yeniden değerlendirme takvimi oluşturulmuş. ISO 27001 ve KVKK uyumu izleniyor.
SEVİYE 4
Ynetilen
Risk skorları KPI’lara bağlı. Saha denetimleri yapılıyor. 4. taraf (tedarikçinin tedarikçisi) riski değerlendiriliyor. Düzeltici faaliyet takibi sistematik.
SEVİYE 5
Optimize
Sürekli izleme araçları entegre. Tehdit istihbaratıyla desteklenen proaktif risk tespiti. TPRM, tedarikçi seçim sürecinin ayrılmaz parçası. Otomatik uyarı ve raporlama sistemi çalışıyor.
8. Sık Sorulan Sorular
TPRM ve tedarikçi denetimi aynı şey midir?
No. Tedarikçi denetimi, TPRM’in bir bileşenidir. TPRM; inventory ynetimi, risk puanlaması, szleşme güvencesi, sürekli izleme ve iş sürekliliği entegrasyonunu kapsayan daha geniş bir süreç çerçevesidir. Denetim bu sürecin doğrulama adımıdır.
Kaç tedarikçiyi değerlendirmeliyim?
Tüm tedarikçiler listelenmelidir ancak kritiklik düzeyine gre değerlendirme kapsamı farklılaşır. Verilerinize veya sistemlerinize erişen tüm tedarikçiler ncelikli; kişisel veri işleyenler ise KVKK kapsamında zorunlu değerlendirme gerektirmektedir.
ISO 27001 sertifikası olan bir tedarikçiyi yine de değerlendirmeli miyim?
Evet. ISO 27001 sertifikası, kapsamın iyi tanımlandığını ve temel kontrollerin uygulandığını gsterir; ancak sertifikanın kapsamı sınırlı olabilir ya da sertifika blümü sizinle employee blümü kapsamıyor olabilir. Sertifika incelemesi, denetimin yerini tutmaz; tamamlayıcı bir kanıttır.
TPRM programı kurmak ne kadar sürer?
Temel bir TPRM çerçevesi (politika, inventory, risk derecelendirme metodolojisi, temel anket) 4-8 haftada kurulabilir. Kapsamlı bir programın olgunlaşması 6-12 ay alır. Önce critical supplierlere odaklanmak, hızlı risk azaltımı sağlar.
KVKK’da tedarikçi yükümlülüğünü yerine getirmemek ne gibi sonuçlar doğurur?
Veri sorumlusu, veri işleyenin kusuru nedeniyle oluşan ihlallerden de sorumlu tutulabilir. KVKK Madde 12 kapsamında idari para cezaları, sicil kaydı ve kurul kararlarıyla karşılaşılabilir. Veri İşleme Szleşmesi (VİS) yoksa ek uyumsuzluk riski doğar.
Secure Fors ile
Tedarikçi Güvenliğinizi Sistematik Hale Getirin
Tedarikçi inventory oluşturmaktan saha denetimine, KVKK uyumundan ISO 27001 hazırlığına kadar tüm TPRM sürecinizi birlikte ynetelim. Türkiye’nin kritik sektrlerinde sahadan gelen deneyimle.
