TPRM Danışmanlığı

 

Hizmet: TPRM Danışmanlığı

Tedarikçileriniz
siber güvenliğinizin
en zayıf halkası mı?

Üçüncü taraf risklerinizi sistematik olarak yönetin. ISO 27001:2022 uyumlu metodoloji, yerinde tedarikçi denetimi ve sürekli izleme ile tedarik zincirinizin güvenliğini belgeleyin.

Ücretsiz Ön Değerlendirme Talep Edin → Metodolojimizi inceleyin
Ekibimiz

Profesyonel, derin butik
denetim tecrübesiyle tanışın

EA
Ersin Aydın
Kurucu & Direktör
ISO 27001 Lead Auditor · CEH
CBDDO D1-D2 Bilirkişi Havacılık Deneyimi
SF
Secure Fors Denetim Ekibi
Havacılık · Finans · Teknoloji
50+ tedarikçi denetimi deneyimi
ISO 27001 DORA KVKK
Neden Kritik?

Siber saldırıların %60’ı artık tedarik zincirinden geliyor

SolarWinds, Kaseya, MOVEit — küresel ölçekte şirketleri etkileyen bu ihlallerin ortak paydası tedarik zinciri açıklarıydı. Saldırganlar için güçlü bir hedefin direkt üzerinden değil, daha zayıf bir tedarikçisi üzerinden geçmek çok daha kolaydır.

Türkiye’de düzenleyici baskı da hızla artıyor: ISO 27001:2022, KVKK, BDDK, DORA ve DDO BİGR düzenlemeleri TPRM’i artık yasal ve kurumsal zorunluluk haline getirdi.

Bir tedarikçi ihlali nedeniyle verileriniz sızarsa sorumluluğu başkasına atmak yetmez — yeterli özeni gösterdiğinizi kanıtlamanız gerekir. TPRM tam olarak bu kanıtı üretir.
  • Görünmez üçüncü taraf erişimleri
    Tedarikçi personelinin sistemlerinize hangi yetkilerle ve hangi cihazlardan eriştiğini biliyor musunuz?
  • Denetimsiz kişisel veri paylaşımı
    Tedarikçilerinize aktardığınız kişisel ve ticari veriler KVKK kapsamında yeterli teknik tedbirlerle korunuyor mu?
  • ISO 27001 denetim bulguları
    Gözetim denetimlerinde tedarikçi kontrol kanıtları artık öncelikli inceleme alanı haline geldi.
  • Eksik sözleşme yükümlülükleri
    Sözleşmeleriniz güvenlik gereksinimleri, denetim hakkı ve ihlal bildirimi yükümlülüklerini açıkça düzenlemiyor.
  • Dördüncü taraf (N+1) riskleri
    Tedarikçilerinizin tedarikçileri de sizin risk yüzeyinizin parçası. Bu katmanı izlemeden program eksik kalır.
Metodolojimiz

ISO 27001:2022 uyumlu, 6 aşamalı TPRM çerçevesi

NIST SP 800-161 ve ISO 27001:2022 Ek A.5.19–5.22 kontrollerini esas alarak, Türkiye düzenleyici gereksinimlerine özelleştirilmiş metodoloji.

Faz 1

Portföy Envanteri ve Sınıflandırma

Tüm tedarikçi ve iş ortakları tespit edilir. Veri erişimi, sistem bağlantısı ve iş sürekliliğine etki kriterlerine göre Kritik / Önemli / Standart olarak sınıflandırılır.

Faz 2

Risk İştahı ve Değerlendirme Kapsamı

Kurumun kabul edilebilir risk eşiği tanımlanır. Hangi tedarikçilerin uzaktan anketle, hangilerinin yerinde denetimle değerlendirileceği belirlenir.

Faz 3

Tedarikçi Risk Değerlendirmesi

270+ kontrol içeren yapılandırılmış soru formuyla teknik, idari ve uyumluluk riskleri ölçülür. Mevcut sertifikalar bağımsız olarak doğrulanır.

Faz 4

Yerinde Tedarikçi Denetimi

Kritik tedarikçiler için sahaya inilir. Politika incelemeleri, personel mülakatları, teknik kontrol testleri ve fiziksel güvenlik gözlemleri gerçekleştirilir.

Faz 5

Bulgu Raporu ve Düzeltici Eylem Planı

Her bulgu; kritiklik seviyesi, kök neden ve önerilen kontrol eşleştirmesiyle belgelenir. Tedarikçiye CAP (Corrective Action Plan) sunulur.

Faz 6

Sürekli İzleme ve Yeniden Değerlendirme

Yıllık yeniden değerlendirme döngüsü, olay bildirimi mekanizması ve düzenleyici değişikliklere uyum güncellemeleriyle program canlı tutulur.

Hizmet Modelleri

İhtiyacınıza göre esnek paketler

Tek seferlik değerlendirmeden tam yönetilen hizmete, her olgunluk seviyesi ve bütçeye uygun model.

Hızlı Başlangıç Değerlendirmesi

ISO 27001 denetimi öncesi veya yeni bir tedarikçiyle çalışmadan önce ihtiyaç duyduğunuz tek seferlik risk değerlendirmesi.

  • 1 tedarikçi, uzaktan değerlendirme
  • 270+ kontrol sorgusu
  • Risk skoru ve yönetici özet raporu
  • Mevcut sertifika doğrulaması
  • Teslimat: 3–5 iş günü

TPRM Program Kurulumu

Kurumunuza özgü, tekrar çalıştırılabilir ve ISO 27001:2022 tam uyumlu üçüncü taraf risk yönetimi programı.

  • Tedarikçi portföy envanteri ve kritiklik matrisi
  • Özelleştirilmiş değerlendirme formu seti
  • Risk iştahı ve eşik tanımlaması
  • İlk 5 tedarikçi değerlendirmesi dahil
  • TPRM politika ve prosedür paketi
  • Sözleşme ekleri şablonu (denetim hakkı, ihlal bildirimi)
  • Ekip eğitimi – yarım gün workshop
  • Teslimat: 4–6 hafta

Yönetilen TPRM Retainer

Yıllık yeniden değerlendirme, yeni tedarikçi onboarding ve düzenleyici uyum güncellemelerini kapsayan sürekli hizmet modeli.

  • Yıllık tedarikçi yeniden değerlendirme takvimi
  • Yeni tedarikçi onboarding değerlendirmesi
  • Düzenleyici değişiklik izleme ve güncelleme
  • Aylık TPRM durum raporu
  • ISO 27001 gözetim denetimi desteği
  • Öncelikli saha denetim kapasitesi
Düzenleyici Çerçeve

TPRM artık tercih değil, zorunluluk

Hangi sektörde ve hangi standarda tabi olursanız olun, üçüncü taraf güvenlik yönetimi denetim gündeminin merkezinde.

ISO 27001:2022

Ek A.5.19 – A.5.22 Kontrolleri

Tedarikçi ilişkileri politikası, sözleşme güvencesi, performans izleme ve bulut hizmetleri güvenliği. 2022 revizyonuyla önemli ölçüde güçlendirildi.

DORA – AB 2025

ICT Üçüncü Taraf Risk Yönetimi

AB finansal kuruluşları ve Türkiye’deki muhatapları için ICT tedarikçi yönetimi, kritik sağlayıcı tespiti ve konsantrasyon riski yükümlülükleri.

KVKK / GDPR

Veri İşleyen Güvencesi

Kişisel veri işleyen tedarikçilerle yeterli teknik ve idari tedbir içeren sözleşme zorunluluğu; denetim hakkı ve ihlal bildirimi gereksinimleri.

EASA / SHGM

Havacılık Tedarik Zinciri Güvenliği

EASA Part-IS ve SHGM SHT-IS kapsamında havacılık hizmet sağlayıcılarının bilgi güvenliği programlarının yetkili kuruluşlarca doğrulanması zorunluluğu.

DDO BİGR

Kamu Alımı BG Kriterleri

Kamu alımlarında tedarikçi siber güvenlik uyum belgesi; ihale teknik şartnamelerinde belgeleme zorunluluğu olarak yer almaya başladı.

BDDK / SPK

Finans Sektörü Dış Hizmet Alımı

Türk finans kuruluşlarının dış kaynak kullanımı ve bulut bilişim düzenlemeleri; kritik operasyonlarda tedarikçi güvencesi yükümlülükleri.

TPRM Nedir? Temel Kavramlar ve Kapsam

TPRM (Third Party Risk Management – Üçüncü Taraf Risk Yönetimi), bir kurumun tedarikçileri, iş ortakları, yazılım geliştiriciler, bulut sağlayıcılar ve dış servis şirketleri gibi üçüncü taraflardan kaynaklanan bilgi güvenliği, operasyonel, yasal ve itibar risklerini yapısal bir çerçeve içinde yönetme disiplinidir.

Güvenlik artık kurumun kendi sınırları içinde değil, tüm tedarik ekosistemi düzeyinde değerlendirilmek zorunda.

TPRM Hangi Riskleri Kapsar?

Siber Güvenlik Riski

Tedarikçi sistemleri üzerinden kuruma sızmak için kullanılabilecek zafiyetler, yetersiz erişim kontrolü ve güvenli olmayan yazılım geliştirme pratikleri. Tedarikçi VPN erişimi, API entegrasyonları ve ortak kullanılan platformlar bu riskin başlıca taşıyıcılarıdır.

Veri Gizliliği Riski

Tedarikçiye aktarılan kişisel veya ticari verilerin KVKK/GDPR kapsamında hukuka uygun biçimde işlenip işlenmediği. Veri işleyen sıfatıyla tedarikçinin yeterli teknik ve idari tedbirleri alıp almadığı kurum tarafından belgelenmelidir.

Operasyonel Süreklilik Riski

Kritik bir tedarikçinin kesintiye uğraması durumunda iş sürekliliğine etkisi. Alternatif tedarikçi planı, SLA güvencesi ve çıkış stratejisi bu riskin yönetilmesinin temel unsurlarıdır.

Uyumluluk ve İtibar Riski

Tedarikçinin yaptırım listelerinde yer alması, lisans ihlalleri veya etik ihlaller nedeniyle kurumun da maruz kalacağı düzenleyici sonuçlar ve itibar zararı.

Etkin Bir TPRM Programının 5 Temel Unsuru

1. Tedarikçi Portföyünün Görünür Kılınması

Çoğu kurumda tüm aktif tedarikçilerin doğru listesi bile mevcut değildir. “Gölge tedarikçiler” — IT onayı olmaksızın bağlanan SaaS araçları ve hizmetler — bu aşamada sıkça ortaya çıkar.

2. Risk Bazlı Önceliklendirme

Tedarikçiler; veri hassasiyeti, sistemlere bağlantı düzeyi ve iş sürekliliğine etkileri bazında sınıflandırılır. Kritik tedarikçiler yerinde denetimle, standart tedarikçiler anket değerlendirmesiyle ele alınır.

3. Kontrol Temelli Değerlendirme

ISO 27001, NIST CSF veya CIS Controls referanslarına dayanan yapılandırılmış soru formları kullanılır. Sertifikalar beyan olarak kabul edilmez; bağımsız doğrulama süreciyle teyit edilir.

4. Sözleşme ve Hukuki Zemin

Güvenlik gereksinimlerinin tedarikçi sözleşmelerine eklenmesi kritik önemdedir. Denetim hakkı, ihlal bildirimi süreleri, veri silme yükümlülükleri ve iş sürekliliği koşulları açıkça yer almalıdır.

5. Sürekli İzleme ve Yaşayan Program

Program; yıllık yeniden değerlendirme döngüsü, olay bildirimi mekanizması ve yeni tedarikçi onboarding süreciyle sürekli canlı tutulmalıdır.

Sektör Deneyimi

Öncelikli sektörler

✈ Havacılık ve Savunma 🏦 Bankacılık ve Finans ⚡ Enerji ve Kritik Altyapı 🏥 Sağlık ve İlaç 🏭 Üretim ve Lojistik 💻 Teknoloji ve SaaS 🏛 Kamu ve e-Devlet 📡 Telekom ve Medya
Proje Süreci

İlk görüşmeden rapora tipik zaman çizelgesi

Her proje kuruma özeldir. Aşağıdaki timeline TPRM Program Kurulumu için genel bir referans sunmaktadır.

Hafta 1

Keşif ve Kapsam Görüşmesi

Mevcut tedarikçi listesi, iş süreçleri ve düzenleyici gereksinimler değerlendirilir. Proje kapsamı ve başarı kriterleri netleştirilir.

Hafta 2

Portföy Envanteri ve Kritiklik Sınıflandırması

Tüm tedarikçiler tespit edilir; kritiklik matrisi ve risk iştahı çerçevesi oluşturulur.

Hafta 3–4

İlk Tedarikçi Değerlendirmeleri

Kritik tedarikçiler öncelikli olarak değerlendirilir. Soru formları iletilir, yanıtlar analiz edilir; gerektiğinde saha ziyareti planlanır.

Hafta 5

Politika, Prosedür ve Sözleşme Ekleri

Tedarikçi güvenlik politikası, değerlendirme prosedürü ve sözleşme ekleri kurumun ihtiyaçlarına göre hazırlanır.

Hafta 6

Raporlama, Eğitim ve Devir

Yönetici özet raporu ve düzeltici eylem planları teslim edilir. Ekip eğitimi tamamlanır, program bakım takvimi belirlenir.

Müşteri Deneyimleri

Sonuçlar konuşuyor

Secure Fors, tedarikçi ekosistemimiz kapsamındaki denetim sürecimizi tamamen profesyonel bir şekilde yönetti. Bulgular hem teknik ekibimizde hem de üst yönetimde anında aksiyon alınmasını sağladı.
HA
Havacılık Sektörü
Bilgi Güvenliği Yöneticisi – Büyük Ölçekli Havacılık Kuruluşu
ISO 27001 gözetim denetimimizde tedarikçi kontrol kanıtları en çok sorgulanan alan oldu. Secure Fors’un hazırladığı TPRM dokümantasyonu denetçileri tam olarak tatmin etti, sıfır uygunsuzlukla çıktık.
FT
Teknoloji Şirketi
BGYS Sorumlusu – Yazılım ve Teknoloji Sektörü
Sıkça Sorulanlar

Merak edilen sorular

TPRM ile tedarikçi denetimi arasındaki fark nedir?

Tedarikçi denetimi, belirli bir tedarikçi için yapılan tek seferlik bir değerlendirmedir. TPRM ise tüm tedarikçi portföyünü kapsayan, tekrarlanabilir ve sürekli izleme içeren bir yönetim programıdır. Denetim programın bir adımıdır; program çok daha geniş bir çerçevedir.

Kaç tedarikçimiz olursa TPRM programı kurmak anlamlı olur?

Verilerinize veya sistemlerinize erişen 5’ten fazla tedarikçiniz varsa ve herhangi bir düzenleyici standarda tabiyseniz TPRM programı kurmak anlamlıdır. Küçük portföylerde bile sözleşme güvencesi kritik önem taşır.

Yerinde denetimde tedarikçimizin onayı gerekiyor mu?

Evet, yerinde denetim için tedarikçi işbirliği zorunludur. Bu nedenle denetim hakkının tedarikçi sözleşmelerine eklenmesini başından öneririz. İşbirliği sağlanamadığı durumlarda uzaktan değerlendirme ve kanıt doğrulama ile alternatif bir değerlendirme yürütülebilir.

ISO 27001 sertifikamız varsa ayrıca TPRM programı kurmamız gerekiyor mu?

Evet. ISO 27001 sertifikanız kurumunuzun kendi BGYS’ini kapsar; tedarikçilerinizin güvenlik olgunluğunu garanti etmez. ISO 27001:2022 Madde A.5.19–A.5.22 kontrolleri tedarikçi ilişkileri için ayrı kanıt gerektirmektedir.

TPRM raporları yasal süreçlerde kullanılabilir mi?

Raporlarımız metodoloji, kanıt ve bulgu bölümlerini içeren standart yapıda hazırlanır. Bilirkişilik yetkili ekibimizce hazırlanan değerlendirmeler hukuki süreçlerde delil niteliği taşıyabilir; spesifik gereksinimlerinizi avukatınızla doğrulamanızı öneririz.

Tedarikçi değerlendirmesinde hangi çerçeve kullanılıyor?

ISO 27001:2022 Ek A kontrolleri temel referansımızdır. Sektöre göre NIST SP 800-161, CIS Controls v8, DORA ICT risk gereksinimleri ve DDO BİGR kriterleri değerlendirmeye entegre edilir.

Ücretsiz Başlayın

Tedarikçi riskinizin boyutunu
birlikte keşfedelim

30 dakikalık ücretsiz ön değerlendirme görüşmesinde tedarikçi portföyünüzün risk profilini birlikte çıkaralım. Herhangi bir taahhüt gerekmez.

bilgi@securefors.com’a yazın → İletişim formu
bilgi@securefors.com
İstanbul, Kartal – Hukukçular Towers
Yanıt süresi: 24 saat içinde

© 2025 Secure Fors Siber Güvenlik Çözümleri  ·  securefors.com  ·  ISO 27001 Lead Auditor · CEH · CBDDO D1-D2