ISO 27001 Tedarikçi Yönetimi Denetçiler Denetimde Ne Sorar?

ISO 27001 Denetim Rehberi

ISO 27001 Tedarikçi Yönetimi:
Denetçiler Denetimde Ne Sorar?

Sertifikasyon ve gözetim denetimlerinde Ek A 5.19–5.22 kapsamında denetçilerin sorduğu sorular, aradığı kanıtlar ve majör uyumsuzluk yaratan eksiklikler — sahadan gelen deneyimle.

Ek A 5.19 – 5.22 ISO 27001:2022 TPRM Denetim Hazırlığı

Bu Yazıda

  1. ISO 27001:2022’de Tedarikçi Yönetimi: Hangi Kontroller?
  2. Denetim Nasıl İşler: Aşamalar ve Denetçi Yaklaşımı
  3. Ek A 5.19 — Tedarikçi İlişkilerinde Bilgi Güvenliği
  4. Ek A 5.20 — Tedarikçi Sözleşmelerinde Bilgi Güvenliği
  5. Ek A 5.21 — BİT Tedarik Zincirinde Bilgi Güvenliği
  6. Ek A 5.22 — Tedarikçi Hizmetlerinin İzlenmesi ve Değişim Yönetimi
  7. Majör Uyumsuzluk Yaratan 8 Kritik Eksiklik
  8. Denetim Öncesi Kontrol Listesi
  9. Sık Sorulan Sorular

ISO 27001 denetimlerinde, sertifikasyon aşamasından yıllık gözetim denetimlerine kadar, tedarikçi yönetimi bölümü denetçilerin en fazla bulgu kaydettiği alanların başında gelir. Bunun nedeni açıktır: pek çok kuruluş kendi iç kontrollerini titizlikle kurarken, aynı verilere ve sistemlere erişen tedarikçilerini büyük ölçüde gözetim dışı bırakır.

ISO 27001:2022 ile birlikte Ek A’daki tedarikçi kontrolleri yeniden yapılandırılmış ve BİT tedarik zinciri güvenliği ile bulut hizmetleri gibi yeni kontroller eklenmiştir. Bu değişiklikle birlikte denetçilerin beklentisi de önemli ölçüde yükselmiştir.

Bu yazıda, Ek A 5.19, 5.20, 5.21 ve 5.22 kapsamında denetçilerin sorduğu soruları, aradığı kanıtları ve majör uyumsuzluk olarak değerlendirilen eksiklikleri — THY tedarikçi ekosistemi ve kurumsal denetimlerden edindiğimiz saha deneyimiyle — aktarıyoruz.

1. ISO 27001:2022’de Tedarikçi Yönetimi: Hangi Kontroller?

ISO 27001:2022 Ek A’da tedarikçi ilişkileri dört ayrı kontrol altında ele alınmaktadır. Bu kontroller birbirini tamamlar ve denetçi tarafından bütünlüklü bir sistem olarak değerlendirilir:

ISO 27001:2022 Ek A — Tedarikçi Kontrolleri

Ek A 5.19

Tedarikçi İlişkilerinde
Bilgi Güvenliği

Tedarikçi erişimini yönetmek için politika ve süreçlerin varlığı. Temel çerçeve kontrolü.

Ek A 5.20

Tedarikçi Sözleşmelerinde
Bilgi Güvenliği

Sözleşmelerde güvenlik gereksinimlerinin yer alması. Denetim hakkı, ihlal bildirimi, şifreleme yükümlülükleri.

Ek A 5.21

BİT Tedarik Zincirinde
Bilgi Güvenliği

Yazılım, donanım ve BİT hizmet sağlayıcılarının güvenliği. 4. taraf (alt tedarikçi) riski.

Ek A 5.22

Tedarikçi Hizmetlerinin
İzlenmesi ve Değişim Yönetimi

Sürekli performans izleme, değişiklik bildirimi, periyodik gözden geçirme ve güncelleme döngüsü.

Not: ISO 27001:2013’te bu kontroller A.15.1 ve A.15.2 altında yer alıyordu. 2022 revizyonuyla dört ayrı kontrole bölündü ve BİT tedarik zinciri ayrı bir kontrol olarak tanımlandı. Ekim 2025’te 2013 sertifikalarının geçerliliği sona erdi; tüm kuruluşlar artık 2022 versiyonuna göre denetlenmektedir.

2. Denetim Nasıl İşler: Aşamalar ve Denetçi Yaklaşımı

ISO 27001 denetimi iki aşamada yürütülür ve tedarikçi yönetimi her iki aşamada da incelenir:

Aşama 1 — Doküman İncelemesi

Tedarikçi yönetim politikası, tedarikçi envanteri, SoA’da 5.19–5.22 dahil edilme/hariç tutma gerekçeleri, örnek sözleşmeler ve mevcut denetim kayıtları masa başında incelenir. Bu aşamada denetçi, sistemi tasarım olarak değerlendirir.

Aşama 2 — Uygulama Doğrulaması

Kontrollerin gerçekten çalışıp çalışmadığı test edilir. Görüşmeler, kanıt örneklemeleri, erişim logları, sözleşme incelemeleri ve gerçek tedarikçi kayıtlarının doğrulanmasıyla sistem etkinliği ölçülür.

Denetçi bakış açısı: “Politikanız var, güzel. Peki bu politikayı son hangi tedarikçinize nasıl uyguladınız? Kanıtını göster.” — Denetimde belge tasarımı değil, kanıtlanmış uygulama aranır. Kağıt üzerindeki mükemmel sistem hiçbir şey ifade etmez.

3. Ek A 5.19 — Tedarikçi İlişkilerinde Bilgi Güvenliği

Bu kontrol, kuruluşun tedarikçi ilişkilerini güvenlik açısından yönetmek için politika ve prosedür kurmasını zorunlu kılar. Denetçi önce sistemi anlayıp ardından kanıt talep eder.

5.19 / S-01

“Tedarikçi yönetim politikanız var mı? Kapsam nedir, kim onayladı?”

Denetçi Ne Arar?

  • Üst yönetim tarafından onaylanmış, güncel politika belgesi
  • Politikanın hangi tedarikçi kategorilerini kapsadığı
  • Politikanın son gözden geçirme tarihi ve revizyonu

Uyumsuzluk Riski

Politika yoksa veya 2+ yıldır güncellenmemişse minör uyumsuzluk. Politika tamamen yoksa majör uyumsuzluk.

5.19 / S-02

“Tedarikçilerinizin tam listesi nerede? Kritiklik düzeylerine göre nasıl sınıflandırdınız?”

Denetçi Ne Arar?

  • Güncel, kapsamlı tedarikçi envanteri
  • Her tedarikçi için erişim türü (veri, sistem, fiziksel) ve kritiklik skoru
  • Envanterin son güncelleme tarihi

Uyumsuzluk Riski

Envanter yoksa veya kişisel veriye erişen tedarikçiler kapsam dışıysa majör uyumsuzluk.

5.19 / S-03

“Sisteminize erişen bir tedarikçiyi seçin. Bu tedarikçiyle ilgili hangi güvenlik kontrolünü nasıl doğruladınız?”

Denetçi Ne Arar?

  • Tedarikçiye yönelik güvenlik anketi veya denetim kaydı
  • Sertifika incelemesi (ISO 27001, SOC 2 vb.) ve kapsam doğrulaması
  • Erişim izinleri ve logları

Uyumsuzluk Riski

Herhangi bir doğrulama kanıtı yoksa majör uyumsuzluk. “Güveniyoruz” yanıtı kabul edilmez.

5.19 / S-04

“Tedarikçi erişimleri en az ayrıcalık ilkesiyle yönetiliyor mu? Paylaşılan hesap var mı?”

Denetçi Ne Arar?

  • Tedarikçilere özgü, bireysel hesap tanımları
  • Erişim logları ve yetkilendirme kayıtları
  • Sözleşme bitimine göre erişim kapatma prosedürü ve kanıtı

Uyumsuzluk Riski

Birden fazla tedarikçi çalışanı aynı hesabı paylaşıyorsa — sahada en sık rastladığımız kritik bulgu — majör uyumsuzluk.

4. Ek A 5.20 — Tedarikçi Sözleşmelerinde Bilgi Güvenliği

Bu kontrol, tedarikçi sözleşmelerinin bilgi güvenliği gereksinimlerini açıkça içermesini zorunlu kılar. Denetçi, sözleşmeyi bizzat okur.

Denetçinin Sözleşmede Aradığı 8 Madde

1

Denetim Hakkı — Kuruluşun tedarikçiyi denetleme veya bağımsız denetim raporu talep etme hakkı açıkça yazılı olmalı.

2

İhlal Bildirim Süresi — Güvenlik ihlalinin kuruluşa hangi süre içinde (örn. 72 saat, KVKK kapsamında) bildirileceği.

3

Minimum Güvenlik Gereksinimleri — MFA, şifreleme, yedekleme gibi teknik kontrollerin sözleşmede açıkça tanımlanması.

4

Veri İşleme ve KVKK — Kişisel veri işleniyorsa Veri İşleme Sözleşmesi (VİS) veya ilgili ek zorunlu.

5

Alt Tedarikçi (4. Taraf) Kısıtlaması — Tedarikçinin hangi koşullarda alt yüklenici kullanabileceği ve bunların bildirim zorunluluğu.

6

Sözleşme Sonu Veri İadesi / İmhası — Sözleşme bitiminde verilerin nasıl iade edileceği veya güvenli biçimde imha edileceği.

7

Değişiklik Bildirimi — Tedarikçi tarafında önemli teknik veya güvenlik değişikliklerinin önceden bildirilmesi yükümlülüğü.

8

Gizlilik ve NDA — Tedarikçinin kuruluş bilgilerini gizli tutma ve ihlal durumunda sorumluluk yükümlülüğü.

5.20 / S-01

“Kritik bir tedarikçinizin sözleşmesini görebilir miyim? İçinde denetim hakkı maddesi var mı?”

Denetçi sözleşmeyi doğrudan inceler. “Denetim hakkı” ve “ihlal bildirim süresi” maddeleri yoksa ya da genel ifadeler içeriyorsa uyumsuzluk. Genel “gizlilik” maddesi yeterli sayılmaz; bilgi güvenliğine özgü madde aranır.

5.20 / S-02

“Kişisel veri işleyen tedarikçilerinizle imzalanmış Veri İşleme Sözleşmesi var mı? Hepsini kapsamış mı?”

KVKK Madde 12 kapsamında bu sözleşme yasal zorunluluktur. Denetçi, VİS’in imzalı olduğunu, kapsamının kişisel veri işleme faaliyetini kapsadığını ve güncel olduğunu doğrular. Eksik VİS hem ISO 27001 hem KVKK uyumsuzluğu yaratır.

5.20 / S-03

“Son 6 ayda tedarikçilerden biri teknik değişiklik bildirdi mi? Nasıl değerlendirdiniz?”

Denetçi, değişim yönetimi sürecinin işleyip işlemediğini test eder. Tedarikçi değişiklik bildirmiş ama kuruluş bilmiyorsa ya da etki analizi yapılmamışsa uyumsuzluk. Bu soru aynı zamanda 5.22’yi de besler.

5. Ek A 5.21 — BİT Tedarik Zincirinde Bilgi Güvenliği

ISO 27001:2022 ile gelen bu yeni kontrol, özellikle yazılım, donanım ve BİT hizmet sağlayıcılarının güvenliğini ayrıca ele alır. Sahadan saldırıların büyük bölümünün tedarik zinciri üzerinden geldiği gerçeği bu kontrolü kritik hale getirir.

Bu kontrol 2013 versiyonunda yoktu. ISO 27001:2022’ye geçiş yapan kurumlar bu kontrolü çoğunlukla eksik bırakıyor. Denetçiler bu nedenle 5.21’i özellikle mercek altına alıyor.

5.21 / S-01

“Kullandığınız yazılım ve BİT hizmetlerinin güvenliğini nasıl değerlendiriyorsunuz? Satın alım öncesi bir güvenlik kriteri var mı?”

Denetçi, satın alım sürecinde güvenlik değerlendirmesinin yer alıp almadığını sorgular. Yazılım satın alınırken güvenlik kriteri yoksa, 5.21 kapsamında uyumsuzluk oluşur. Satın alım talep formu, güvenlik onay adımı veya risk değerlendirmesi kanıt olarak sunulabilir.

5.21 / S-02

“Kritik bir BİT tedarikçinizin alt yüklenicileri var mı? Bunların güvenliğini nasıl takip ediyorsunuz?”

4. taraf riski. Denetçi, tedarikçinin kendi alt yüklenicileri için de güvenlik yükümlülüğü tanımlanıp tanımlanmadığını sorgular. Alt tedarikçi listesinin sözleşmeye ek olarak sağlanması veya akış-aşağı güvenlik maddelerinin varlığı aranır.

5.21 / S-03

“Kritik bir yazılım tedarikçinizde güvenlik açığı tespit edilirse sizi nasıl haberdar eder? Bu süreç tanımlı mı?”

Güvenlik açığı ifşası (vulnerability disclosure) prosedürü sorgulanır. Tedarikçinin güvenlik bültenlerini takip etmek için bir süreç olmalı; CVE izleme, tedarikçi bildirimleri veya yama takip kayıtları kanıt olarak sunulabilir.

5.21 / S-04

“Tedarikçiden gelen bileşenler (yazılım kütüphaneleri, donanım) orijinallik ve güvenlik açısından kontrol ediliyor mu?”

Tedarik zinciri bütünlüğü. Özellikle yazılım bağımlılıklarının (açık kaynak kütüphaneler dahil) güvenlik taramasına tabi tutulup tutulmadığı ve dijital imza doğrulaması sorgulanır. SBOM (Software Bill of Materials) bu kontrole kanıt sağlar.

6. Ek A 5.22 — Tedarikçi Hizmetlerinin İzlenmesi ve Değişim Yönetimi

Tedarikçi ilişkisi başlandıktan sonra bitmez. 5.22, süregelen izleme, periyodik gözden geçirme ve değişiklik yönetimini kapsar. Denetçi bu kontrolde “geçmişe bakarak” kanıt arar.

5.22 / S-01

“Kritik tedarikçilerinizle düzenli hizmet gözden geçirme toplantısı yapıyor musunuz? Tutanakları var mı?”

Periyodik gözden geçirmenin kanıtı aranır. Toplantı tutanakları, e-posta yazışmaları veya raporlar sunulabilir. Tutanakta güvenlik performansının gündem maddesi olarak yer alması beklenir. Toplantı yapılmış ama güvenlik gündeme gelmemişse yeterli sayılmaz.

5.22 / S-02

“Son 12 ayda bir tedarikçiniz ISO 27001 sertifikasını yeniledi ya da güvenlik posturunda önemli bir değişiklik oldu. Bundan nasıl haberdar oldunuz, nasıl değerlendirdiniz?”

Tedarikçi sertifika değişikliklerinin izlenip izlenmediği test edilir. Sertifika takip kaydı, değişiklik bildirimi yazışması veya risk yeniden değerlendirme notu kanıt olarak sunulabilir. Tedarikçinin sertifikası düştüğü halde kuruluş haberdar değilse ciddi uyumsuzluk.

5.22 / S-03

“Daha önce gerçekleştirdiğiniz tedarikçi denetiminde bulgu çıktı mı? Bu bulgular kapatıldı mı? Kanıtı?”

Düzeltici faaliyet takibi. Geçmiş denetim bulguları ve kapatma kanıtları sunulabilir olmalıdır. “Bulduk ama henüz kapatmadık” mevcut denetimde uyumsuzluk olarak kalır; kapatma kanıtı yoksa sorun devam ediyor sayılır.

5.22 / S-04

“Bir tedarikçiyle sözleşme sona erdiğinde veri iadesi veya imhası nasıl gerçekleşti? Son örneği?”

Sözleşme sonu veri yönetiminin kanıtı aranır. Tedarikçinin veri silme/iade teyidi, erişim kapatma kaydı ve ilgili e-posta yazışmaları sunulabilir. Sözleşme bitmesine rağmen tedarikçi erişimi devam ediyorsa majör uyumsuzluk.

7. Majör Uyumsuzluk Yaratan 8 Kritik Eksiklik

Sahadan ve denetim kayıtlarından derlenen; sertifikasyon ve gözetim denetimlerinde en sık majör uyumsuzluğa yol açan eksiklikler:

1

Tedarikçi envanteri yok veya eksik

Özellikle kişisel veri işleyen ya da kritik sistemlere erişen tedarikçilerin listede olmaması. Denetçi envanterin kapsamını mutlaka sorgular.

2

Sözleşmelerde denetim hakkı maddesi yok

En sık karşılaşılan sözleşme boşluğu. “Güvenilir bir firmayız” ifadesi yasal dayanak oluşturmaz; madde sözleşmede yazılı olmalıdır.

3

Paylaşılan tedarikçi hesapları

Birden fazla tedarikçi çalışanının tek hesap üzerinden sisteme erişmesi. Hesap verebilirlik ve iz takibi imkânsız hale gelir. Türkiye’de sahadan en sık tespit ettiğimiz kritik bulgu.

4

Sözleşme bitmesine rağmen erişim kapatılmamış

Bir önceki yazılım firmasının VPN erişimi hâlâ açık. Eski tedarikçi çalışanı sisteme bağlanabiliyor. Hem 5.22 hem insan kaynakları güvenliği kontrollerini etkiler.

5

KVKK kapsamında VİS imzalanmamış

Kişisel veri işleyen tedarikçilerle Veri İşleme Sözleşmesi yoksa hem ISO 27001 hem KVKK kapsamında çift uyumsuzluk oluşur.

6

Tedarikçi denetimi hiç yapılmamış

“ISO 27001 sertifikamız olduğu için güvenilirler” yaklaşımı. Sertifika incelemesi bile yapılmamış, kapsam doğrulanmamış. Hiçbir güvenlik değerlendirmesi kanıtı yok.

7

Tedarikçi değişikliklerinin izlenmemesi

Tedarikçi veri merkezini değiştirmiş, yeni bir alt yüklenici eklemiş ya da anahtar personelini kaybetmiş — kuruluş habersiz. 5.22 kapsamında değişim yönetimi boşluğu.

8

SoA’da 5.19–5.22 hariç tutulmuş ama gerekçesi zayıf

Bazı kuruluşlar “tedarikçimiz yok” gerekçesiyle bu kontrolleri dışarıda bırakır. Bulut hizmetleri (AWS, Office 365) kullanan kuruluşların bu gerekçeyi kabul ettiremeyeceği bilinmelidir.

8. Denetim Öncesi Kontrol Listesi

Denetim öncesi bu listeyi kullanarak hazırlığınızı tamamlayın. Her madde için “kanıtım var mı?” sorusunu sorun:

Doküman ve Politika Hazırlığı

Güncel, üst yönetim onaylı tedarikçi yönetim politikası

Kritiklik düzeyi belirtilmiş kapsamlı tedarikçi envanteri

SoA’da 5.19–5.22 için gerekçeli dahil/hariç kararları

Risk değerlendirmesinde tedarikçi riskleri kayıtlı

Sözleşme Hazırlığı

Tüm kritik tedarikçilerde denetim hakkı maddesi

İhlal bildirim süresi sözleşmede tanımlı

Kişisel veri işleyen tedarikçilerde imzalı VİS

Alt yüklenici kısıtlaması ve bildirim yükümlülüğü

Sözleşme sonu veri iadesi/imhası yükümlülüğü

Minimum teknik güvenlik gereksinimleri eki

Kanıt Hazırlığı

En az 1 kritik tedarikçi için denetim raporu veya güvenlik anketi kaydı

Bireysel tedarikçi hesapları ve erişim logları

Tedarikçi hizmet gözden geçirme toplantısı tutanakları

Geçmiş bulgular için kapatma kanıtları (düzeltici faaliyet)

Sona eren sözleşmeler için erişim kapatma ve veri imhası kaydı

5.21: BİT satın alım sürecinde güvenlik onay adımı kaydı

Denetçi Gözünden Kritik Hatırlatma

Sertifikasyon denetiminde tedarikçi yönetimi soruları genellikle şöyle başlar: “Bana herhangi bir kritik tedarikçinizi adlandırın ve o tedarikçiye dair neler yaptığınızı gösterin.” Bu soruya belgeli, somut ve güncel bir yanıt veremeyen kuruluşlar en az minör, çoğunlukla majör uyumsuzlukla karşılaşır.

— Secure Fors, ISO 27001 Baş Denetçi Gözlemleri

9. Sık Sorulan Sorular

Sadece birkaç tedarikçimiz var. Yine de bu kontrolleri kapsamlı uygulamak zorunda mıyım?

Evet. Tedarikçi sayısı değil, kritiklik düzeyi belirleyicidir. Tek bir bulut sağlayıcısı (örn. Microsoft 365, AWS) kullanan bir kuruluş, o sağlayıcı için Ek A 5.19–5.22 gereksinimlerini karşılamak zorundadır. Tedarikçi sayısı az olsa bile kontroller “kapsam dışı” bırakılamaz; yalnızca risk temelli önceliklendirme yapılabilir.

Tedarikçimiz ISO 27001 sertifikalı. Bu yeterli mi?

Hayır, tek başına yeterli değil. Denetçi, sertifikanın kapsamının sizinle çalışan birimi kapsayıp kapsamadığını, sertifikanın güncel olduğunu ve sertifika kapsamı dışındaki alanlarda ek değerlendirme yapılıp yapılmadığını sorgular. Sertifika incelemesi yapıldığına dair bir kayıt mutlaka olmalıdır.

Gözetim denetiminde (yıllık) tedarikçi yönetimi ne kadar sorgulanır?

Gözetim denetiminde kapsam daha dar tutulsa da önceki denetim bulgularının kapatılıp kapatılmadığı, yeni tedarikçi ilişkilerinin yönetilip yönetilmediği ve yıllık gözden geçirme kayıtları mutlaka incelenir. Tedarikçi yönetiminde önceki dönemden açık bulgu varsa ilk sorgulanan alan burası olur.

ISO 27001:2013’ten 2022’ye geçerken tedarikçi yönetiminde ne değişti?

2013 versiyonunda A.15.1 ve A.15.2 olarak yer alan tedarikçi kontrolleri, 2022’de Ek A 5.19–5.22 olarak dört ayrı kontrole bölündü. En önemli yenilik, BİT tedarik zincirini ayrıca ele alan 5.21’in eklenmesidir. Yazılım güvenliği, alt yükleniciler ve tedarik zinciri bütünlüğü artık bağımsız bir kontrol kapsamında değerlendirilmektedir.

Tedarikçi yönetimindeki majör uyumsuzluk sertifikasyon sürecini tamamen durdurur mu?

Majör uyumsuzluk, sertifikasyon kararını askıya alır. Belirlenen süre içinde (genellikle 90 gün) düzeltici faaliyet tamamlanıp kanıtlanmadığı takdirde sertifika verilemez ya da mevcut sertifika askıya alınabilir. Bu nedenle denetim öncesi tedarikçi yönetimi boşluklarının kapatılması kritik önem taşır.

Secure Fors ISO 27001 Hizmetleri

Denetim Öncesi Tedarikçi Yönetimi
Boşluklarınızı Kapatalım

ISO 27001 sertifikasyon veya gözetim denetiminizden önce Ek A 5.19–5.22 hazırlığınızı değerlendiriyor, sözleşme boşluklarını tespit ediyor ve tedarikçi denetimlerini sizin adınıza yürütüyoruz.

ISO 27001:2022 Ek A 5.19–5.22 GAP analizi

Tedarikçi sözleşme güvenlik maddesi gözden geçirmesi

Tedarikçi güvenlik anketi tasarımı ve yönetimi

İkinci taraf tedarikçi güvenlik denetimi

KVKK veri işleyen değerlendirmesi ve VİS desteği

Denetim kanıt paketi hazırlama ve mock denetim

Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram