TPRM · Tedarikçi Risk Yönetimi
Tedarikçi Güvenlik Anketi Nasıl Hazırlanır? Türkçe Şablon ve 30 Örnek Soru
ISO 27001, KVKK ve sektör en iyi pratiklerine uyumlu, kullanıma hazır tedarikçi güvenlik değerlendirme anketi rehberi.
%59
Şirketlerin tedarikçi güvenlik anketini düzensiz veya hiç göndermediği oran
Ponemon Institute, 2024
4,2 ay
Tedarikçi kaynaklı bir ihlalin tespit edilmesi için geçen ortalama süre
IBM Cost of Data Breach, 2024
%73
İyi hazırlanmış ankete tedarikçilerin yanıt verme oranı
Prevalent TPRM Report, 2024
3,4x
Düzenli tedarikçi değerlendirmesi yapan firmaların ihlal etkisini azaltma oranı
Gartner, 2023
Tedarikçi Güvenlik Anketi Neden Kritik?
Tedarikçi güvenlik anketi; bir tedarikçinin bilgi güvenliği olgunluğunu, veri koruma pratiklerini ve operasyonel dayanıklılığını sistematik ve ölçülebilir biçimde değerlendirmenizi sağlayan yapılandırılmış bir araçtır. Bu araç olmadan risk yönetimi büyük ölçüde sezgiye dayanır: “Tanınan bir firma, sorun çıkarmaz” ya da “ISO 27001 belgesi var, yeterlidir” gibi kestirme kabuller devreye girer. Oysa bir ISO 27001 belgesi tedarikçinin belgeleme sistemini kanıtlar — o anki güvenlik durumunu değil.ISO 27001 Belgesi Tek Başına Yeterli Değildir
Tedarikçi ISO 27001 belgeli olabilir ama son altı ayda hiç güvenlik eğitimi vermemiş, yaması uygulanmamış sunucular çalıştırıyor ve çalışan erişimlerini offboarding sırasında kapatmıyor olabilir. Belge periyodik bir anlık görüntü alır; anket ise bugünkü durumu sorar.Hukuki Boyut: KVKK ve ISO 27001 Sizi Mecbur Kılıyor
Tedarikçi güvenlik anketini göndermek bir iyiniyet göstergesi değil, yasal yükümlülük. KVKK’nın 12. maddesi, veri sorumlusunun kişisel verileri işleyen veri işleyenlerin yeterli güvenlik tedbirlerini aldığını doğrulamasını zorunlu kılıyor. Bu doğrulamayı belgeleyen en pratik yöntem: güvenlik anketi. ISO 27001:2022’nin Ek A 5.19–5.22 kontrolleri de tedarikçi güvenlik gerekliliklerinin değerlendirilmesini ve izlenmesini açıkça şart koşuyor.“Veri sorumlusu, veri işleyenin gerekli güvenlik tedbirlerini aldığını teyit etmekle yükümlüdür. Bu yükümlülük; sözleşme maddesi, denetim hakkı ve periyodik değerlendirme mekanizmaları aracılığıyla yerine getirilebilir.”
Herkese Aynı Anketi Göndermeyin
En yaygın TPRM hatalarından biri, tüm tedarikçilere aynı 80 soruluk anketi göndermek. Sonuç: düşük riskli temizlik şirketi de, kritik bulut altyapısı sağlayıcısı da aynı formu dolduruyor. Biri için aşırı yük, diğeri için yetersiz derinlik. Doğru yaklaşım, tedarikçi kritiklik seviyesine göre soru setini ölçeklendirmektir:Tedarikçi Kritiklik Seviyesine Göre Anket Derinliği
KRİTİK
Tier 1 — Kritik Veri / Sistem Erişimi
Bulut altyapısı, temel yazılım tedarikçileri, kişisel veri işleyenler, temel ERP/CRM entegrasyonları
60–80 soru + yerinde denetim
YÜKSEK
Tier 2 — Sınırlı Sistem Erişimi
BT destek firmaları, yazılım geliştiriciler, SaaS uygulamaları, yönetilen güvenlik hizmetleri
30–40 soru + belge talebi
ORTA
Tier 3 — Dolaylı Erişim / Düşük Veri
Pazarlama ajansları, eğitim firmaları, genel iş danışmanları
15–20 soru (self-assessment)
DÜŞÜK
Tier 4 — BT Erişimi Yok
Ofis malzemeleri, temizlik, kargo, kırtasiye tedarikçileri
Standart sözleşme maddesi
Anket Nasıl Hazırlanır? 5 Aşamalı Süreç
Tedarikçi Güvenlik Anketi Hazırlama ve Değerlendirme Süreci
1
Tedarikçiyi Sınıflandır
Kritiklik seviyesi, erişim türü ve veri hassasiyetini belirle
2
Soru Setini Seç
Kritiklik seviyesine göre uygun kategorileri belirle
3
Gönder ve Takip Et
10–15 iş günü süre tanı, hatırlatma mekanizması kur
4
Yanıtları Puanla
Risk matrisine göre değerlendir, kritik açıkları tespit et
5
Aksiyon Al ve İzle
Düzeltici aksiyon planı iste, periyodik yenileme takvimi kur
Anketi Göndermeden Önce: 3 Kritik Hazırlık
1. Amacı açıkça tanımlayın: Tedarikçiye anketi neden gönderdiğinizi, yanıtların nasıl kullanılacağını ve gizliliğin nasıl korunacağını açıklayan bir kapak yazısı ekleyin. Şeffaf iletişim, yanıt oranını ciddi ölçüde artırır. 2. Yanıt yükünü minimumda tutun: Her soru için net yanıt formatı belirtin — Evet/Hayır, çoktan seçmeli veya kısa metin alanları. Belirsiz “Açıklayınız” soruları yorumu tedarikçiye bırakır ve değerlendirmeyi güçleştirir. 3. Belge taleplerini baştan listeleyin: Hangi belgelerin ek olarak gönderilmesini beklediğinizi önceden bildirin: ISO 27001 sertifikası, sızma testi özet raporu, iş sürekliliği planının kapak sayfası gibi. Sürpriz belge talepleri süreci uzatır.Anket Formatı Hakkında Pratik Öneri
Excel veya PDF şablon yerine mümkünse form tabanlı bir araç kullanın (Microsoft Forms, Google Forms veya ServiceNow GRC). Form tabanlı araçlar yanıt oranını %40’a kadar artırabilir ve verileri doğrudan analiz edilebilir hale getirir.30 Örnek Soru: Kategorilere Göre Tam Şablon
Aşağıdaki soru seti altı kategoriye ayrılmıştır. Her sorunun yanında önerilen yanıt tipi ve değerlendirme ipucu bulunmaktadır.A. Kurumsal Güvenlik Yönetimi
Tedarikçinin güvenlik olgunluk çerçevesini ve yönetim taahhüdünü ölçerSorular 1–5
1
Kuruluşunuzun geçerli bir ISO 27001, SOC 2 Type II veya eşdeğer uluslararası bilgi güvenliği sertifikasyonu var mı?
💡 Evet yanıtı için sertifika kopyası ve geçerlilik tarihini talep edin. “Hazırlık sürecindeyiz” yanıtı sarı alarm işaretidir.
2
Yazılı ve onaylı bir Bilgi Güvenliği Politikanız var mı? Bu politika ne sıklıkla gözden geçirilmektedir?
💡 “Evet, yıllık gözden geçirilir” ideal yanıttır. Politika tarihinin 2 yıldan eski olması risk işaretidir.
3
Bilgi güvenliği sorumluluğunu üstlenen atanmış bir CISO, Bilgi Güvenliği Yöneticisi veya eşdeğer bir rolünüz var mı?
💡 Bu rol IT Müdürü ile birleşik olabilir; önemli olan sorumluluğun yazılı olarak tanımlanmış olmasıdır.
4
Son 12 ay içinde bağımsız bir üçüncü tarafça güvenlik denetimi veya sızma testi yaptırdınız mı?
💡 Testin kapsamını, yapan firmayı ve kritik bulgu sayısını sorun. Kapatılmamış kritik bulgular var mı?
5
Çalışanlarınız yılda en az bir kez bilgi güvenliği farkındalık eğitimi alıyor mu? Eğitim kayıtları tutuluyor mu?
💡 Kimlik avı simülasyonlarını kapsayan eğitim programları olgun seviyenin göstergesidir.
B. Erişim Kontrolü ve Kimlik Yönetimi
Yetkisiz erişimi önleyen kontrollerin varlığını ve olgunluğunu değerlendirirSorular 6–10
6
Kritik sistemlere erişimde çok faktörlü kimlik doğrulama (MFA) zorunlu mu? Hangi sistemler kapsam dışında bırakılmaktadır?
💡 MFA’nın “yalnızca VPN’de” uygulanıp uygulanmadığını netleştirin. İdeal olan tüm kritik uygulamalarda MFA zorunluluğudur.
7
En az ayrıcalık ilkesi (Least Privilege) uyguluyor musunuz? Kullanıcı erişim hakları ne sıklıkla gözden geçirilmektedir?
💡 Altı ayda bir veya daha sık yürütülen erişim gözden geçirmeleri iyi pratik kabul edilir.
8
Şirketimizin sistemlerine uzak erişim sağlayan çalışanlarınız için ayrıcalıklı erişim yönetimi (PAM) çözümü kullanıyor musunuz?
💡 PAM olmayan durumlarda paylaşımlı yönetici şifrelerinin kullanılıp kullanılmadığını sorun — bu kritik bir risk göstergesidir.
9
Bir çalışan işten ayrıldığında tüm sistem ve uygulama erişimleri ne kadar sürede kapatılmaktadır?
💡 “Aynı gün veya 24 saat içinde” ideal yanıttır. “Birkaç hafta” yanıtı ciddi bir güvenlik açığı işaretidir.
10
Sistem ve uygulama erişim logları ne kadar süreyle saklanmaktadır? Bu loglara yetkisiz erişim engelleniyor mu?
💡 ISO 27001 ve KVKK açısından en az 1 yıl log saklama önerilir. Log bütünlüğü koruması da sorgulanmalıdır.
C. Veri Güvenliği ve KVKK Uyumu
Kişisel ve kurumsal verilerin korunmasına yönelik kontrolleri ölçerSorular 11–16
11
Adımıza işleyeceğiniz kişisel verilerin türleri ve işleme amaçları nelerdir? Bu faaliyetler VERBIS’e kayıtlı mı?
💡 VERBIS kaydı yalnızca zorunluluktan değil; veri akışının kontrol altında olduğunun bir göstergesi olarak değerlendirilir.
12
Müşterilerinizle imzalanmış Veri İşleme Sözleşmesi (DPA) şablonunuz var mı? Bizimle de böyle bir sözleşme yapabilir misiniz?
💡 DPA olmadan kişisel veri işletilmesi KVKK ihlali doğurur. “Evet, standart DPA’mız var” yanıtından sonra müzakere esnekliğini de sorun.
13
Depolanan ve iletilen veriler şifreleniyor mu? Hangi şifreleme standartları kullanılmaktadır? (örn. TLS 1.2+, AES-256)
💡 “Şifreliyoruz” yanıtı yeterli değildir. Kullanılan standart ve kapsam netleştirilmelidir: yalnızca transit mi, depolamada da mı?
14
Bir veri ihlali tespit ettiğinizde müşterilere bildirme süreniz nedir? Bu bildirimi yapacak tanımlı bir süreciniz var mı?
💡 KVKK, veri sorumlusunun KVK Kurulu’nu 72 saat içinde bildirmesini zorunlu kılar. Tedarikçinin sizi çok daha hızlı bildirmesi beklenir.
15
Sözleşme sona erdiğinde bizimle ilgili verileri nasıl imha ediyorsunuz? Bu sürecin belgesi sağlanabilir mi?
💡 “Siliyoruz” yeterli değildir. Güvenli imha yöntemi (DoD 5220.22-M, NIST 800-88 vb.) ve imha belgesi talep edilmelidir.
16
Yurt dışına kişisel veri aktarımı gerçekleştiriyor musunuz? Aktarım yapılan ülkeler ve kullanılan hukuki mekanizma nedir?
💡 Yurt dışı aktarım için KVK Kurulu kararı veya açık rıza gerekir. Belirsiz yanıt ciddi bir uyumsuzluk işareti olabilir.
D. Ağ ve Altyapı Güvenliği
Teknik güvenlik kontrollerini ve altyapı olgunluğunu değerlendirirSorular 17–21
17
Ağ segmentasyonu uyguluyor musunuz? Kritik sistemler ile genel ağ arasında mantıksal veya fiziksel ayrım var mı?
💡 Özellikle bulut ve SaaS tedarikçileri için: şirketinize hizmet veren sistemlerin genel ofis ağından izole edilip edilmediğini netleştirin.
18
Güvenlik açığı yönetimi (vulnerability management) süreciniz var mı? Kritik yamalar ne kadar sürede uygulanmaktadır?
💡 Kritik yamalar için 15–30 gün, yüksek önem düzeyi için 30–60 gün standart beklentidir. “İmkân buldukça” yanıtı kabul edilemez.
19
Güvenlik olaylarını izlemek için SIEM, güvenlik duvarı veya saldırı tespit sistemi (IDS/IPS) kullanıyor musunuz?
💡 7/24 izleme kapasitesi ve olay yanıt süreleri (MTTD/MTTR) hakkında ek bilgi isteyin.
20
Yazılım geliştirme süreçlerinizde güvenli kodlama standartları (OWASP, SAST/DAST araçları) uygulanıyor mu?
💡 Yalnızca yazılım geliştiren tedarikçiler için geçerlidir. DevSecOps olgunluğunu ölçen kritik bir sorudur.
21
Çalışanlarınızın kişisel cihazlarını (BYOD) iş sistemlerine erişmek için kullandığı durumlar var mı? Bu cihazlar nasıl yönetilmektedir?
💡 MDM (Mobil Cihaz Yönetimi) çözümü olmaksızın BYOD kullanımı, veri sızıntısı için ciddi bir risk vektörüdür.
E. İş Sürekliliği ve Olay Müdahalesi
Kesinti ve kriz senaryolarına karşı hazırlığı ölçerSorular 22–26
22
Yazılı ve onaylı bir İş Sürekliliği Planınız (BCP) ve Felaket Kurtarma Planınız (DRP) var mı? Son tatbikat tarihi nedir?
💡 Plan var ama hiç test edilmemişse pratikte değeri sınırlıdır. Son 12 ayda tatbikat yapılmamış olması sarı alarm işaretidir.
23
Kritik sistemleriniz için RTO (Kurtarma Süresi Hedefi) ve RPO (Kurtarma Noktası Hedefi) tanımlanmış mı? Bu değerler SLA taahhütlerinizle uyumlu mu?
💡 SLA süresinin RTO’yu aşması kabul edilemez bir taahhüttür. Bu uyumsuzluk sözleşmede netleştirilmelidir.
24
Güvenlik olayı müdahale planınız (Incident Response Plan) var mı? Olay tespitinden müşteri bildirimine kadar geçen süreci tanımlıyor mu?
💡 Sizi etkileyecek olaylarda bildirim kanalını ve yetkili irtibat kişisini mutlaka netleştirin.
25
Son 3 yıl içinde hizmetinizi etkileyen bir güvenlik olayı veya önemli kesinti yaşandı mı? Yaşandıysa nasıl yönetildi?
💡 “Hayır” yanıtı her zaman güven verici değildir. Önemli olan yanıtın tutarlılığı ve öğrenilen derslerdir.
26
Verilerinizin yedeklemesi ne sıklıkla yapılmaktadır? Yedekler, üretim ortamından fiziksel veya mantıksal olarak izole edilmiş mi?
💡 Fidye yazılımı saldırılarında en kritik nokta yedek izolasyonudur. Üretim ortamına bağlı yedekler saldırıda birlikte şifrelenir.
F. Alt Tedarikçi ve Tedarik Zinciri Riski
Dördüncü taraf riskini ve tedarik zinciri güvenliğini değerlendirirSorular 27–30
27
Bize hizmet vermek için alt tedarikçi veya üçüncü taraf kullanıyor musunuz? Bu alt tedarikçiler kimlerdir?
💡 SITA ve SolarWinds vakalarında görüldüğü gibi, asıl risk çoğunlukla tedarikçinin tedarikçisinden geliyor. Şeffaflık bu noktada kritik.
28
Alt tedarikçilerinize bilgi güvenliği gerekliliklerinizi yansıtıyor musunuz? Sözleşmelerinde güvenlik maddeleri var mı?
💡 “Güveniyoruz” yanıtı riskli bir pratiktir. Alt tedarikçi güvenlik değerlendirmesi yapılıp yapılmadığını sorun.
29
Yazılım ürünlerinizde açık kaynak bileşenler kullanıyor musunuz? Bu bileşenlerin güvenlik açıkları takip ediliyor mu? (SCA/SBOM)
💡 Log4Shell ve XZ Utils vakaları, açık kaynak bağımlılık riskini gündeme taşıdı. SBOM (Yazılım Malzeme Listesi) talebi endüstri standardı haline geliyor.
30
Sözleşmemiz kapsamında denetim hakkımızı kullanarak güvenlik kontrollerinizi yerinde veya uzaktan değerlendirmemize izin verir misiniz?
💡 “Hayır” yanıtı tek başına kırmızı alarm değildir — büyük firmalar bireysel denetimleri kabul etmeyebilir. Alternatif kanıt (son denetim raporu, pentest özeti) talep edin.
Yanıtları Nasıl Puanlarsınız?
Anket yanıtlarını topladıktan sonra nesnel ve tutarlı bir puanlama mekanizması olmadan karşılaştırma yapmak güçleşir. Aşağıda basit ama etkili bir model sunuyoruz.⚡ Tedarikçi Güvenlik Anketi Değerlendirme Modeli
| Yanıt Kategorisi | Puan | Risk Seviyesi | Önerilen Aksiyon |
|---|---|---|---|
| Evet + Belge sunuldu + Uygulama kanıtı var | 4 | Düşük Risk | Standart izleme yeterli |
| Evet + Belge sunuldu | 3 | Düşük Risk | Belge geçerliliği yıllık teyit |
| Evet + Belge yok / Süreçte | 2 | Orta Risk | 6 ay içinde kanıt talebi |
| Kısmi / Planlama aşamasında | 1 | Orta Risk | Düzeltici aksiyon planı iste |
| Hayır / Uygulanmıyor | 0 | Yüksek Risk | Sözleşme öncesi değerlendirme gerekli |
| Yanıtlanmadı / Atlandı | −1 | Kritik Risk | Tedarikçiyi eskalasyona al |
90–120
Olgun Seviye — Standart izleme yeterli
60–89
Gelişmekte — 6 aylık aksiyon planı iste
30–59
Yetersiz — Ek denetim ve sözleşme şartı
0–29
Kritik — Onaylama, üst yönetimi bilgilendir
Kritik Sorular İçin Ağırlıklı Puanlama
MFA zorunluluğu (soru 6), veri ihlali bildirimi (soru 14), yedek izolasyonu (soru 26) ve denetim hakkı (soru 30) gibi sorular için puanlamayı 2 katına çıkarabilirsiniz. Bu sorularda 0 puan alan tedarikçi, genel toplam ne olursa olsun yeniden değerlendirmeye alınmalıdır.Yaygın Hatalar ve Doğruları
Tedarikçi güvenlik anketlerinde yapılan hatalar, programı görünür kılmak yerine güveni yanlış biçimde tescil etmeye yol açar. İşte en sık karşılaşılan hatalar ve doğru yaklaşım:❌ Yanlış Pratikler
- Her tedarikçiye aynı anketi göndermek
- Yanıtları okumadan dosyalamak
- Yalnızca onboarding’de gönderip izlememek
- “ISO var, yeter” diye puanlama bitirmek
- Hayır yanıtlarını takip etmemek
- Anketi tedarikçiye “yük” gibi sunmak
- Belge talep etmeden Evet yanıtına güvenmek
✅ Doğru Pratikler
- Kritiklik seviyesine göre soru setini ölçeklendirmek
- Yanıtları belgelemek ve puanlamak
- Yıllık yenileme ve olay tetiklemeli güncelleme
- Belgeyi görüp geçerlilik tarihini kontrol etmek
- Hayır yanıtları için aksiyon planı almak
- Anketi ortaklık sürecinin parçası olarak sunmak
- Kritik sorularda kanıt belgesi talep etmek
Tedarikçi Direnciyle Nasıl Başa Çıkılır?
Bazı tedarikçiler — özellikle büyük firmalar — güvenlik anketi doldurmayı reddedebilir. Bu durumda şu alternatifleri deneyin: 1. Belge talebi yoluna gidin: Bireysel anketi doldurmak yerine, düzenli bağımsız denetimden geçtiklerini kanıtlayan ISO 27001 veya SOC 2 Type II belgesi isteyin. Bu yaklaşım büyük SaaS sağlayıcılarında yaygın kabul görür. 2. Paylaşılan anket platformlarını kullanın: Prevalent, OneTrust veya CAIQ (Consensus Assessment Initiative Questionnaire) gibi endüstri standardı anketlere tedarikçinin önceden verdiği yanıtlara erişin. 3. Sözleşmeye kanıt yükümlülüğü ekleyin: “Tedarikçi, talep halinde güvenlik durumunu kanıtlayan bağımsız denetim raporunu paylaşmayı kabul eder” ifadesini sözleşmeye yerleştirin.Sonuç ve Sonraki Adımlar
Tedarikçi güvenlik anketi; tek başına bir hedef değil, TPRM programının hayata geçtiği ilk somut adımdır. İyi hazırlanmış 30 soru, yüzeysel 100 sorudan çok daha değerli bilgi üretir — çünkü önemli olan soruların sayısı değil, yanıtların ne kadar güvenilir şekilde değerlendirildiğidir. Bu makaledeki şablonu kullanarak başlayabilir, kritiklik seviyesine göre soruları ölçeklendirebilir ve zamanla puanlama modelinizi kendi risk iştahınıza göre özelleştirebilirsiniz. Aklınızda bulunması gereken temel ilke şu: gönderilen ve arşivlenen bir anket güvenlik sağlamaz — yanıtları okunan, puanlanan ve takip edilen bir anket sağlar.Tedarikçi güvenlik anketi, bir tedarikçiyi cezalandırma aracı değil; ortak risk anlayışı oluşturma sürecidir. Bunu tedarikçiye karşı değil, tedarikçiyle birlikte yapın.
Tedarikçi Güvenlik Anket Şablonunuzu Hazırlamamıza Yardımcı Olalım
Secure Fors olarak sektörünüze ve tedarikçi profilinize özel güvenlik anketi tasarımı, KVKK uyumlu DPA hazırlığı ve TPRM program kurulumu konularında danışmanlık sunuyoruz. Ücretsiz Ön Değerlendirme Talep Edin →Tedarikçi Güvenlik Değerlendirmelerinizi Profesyonelleştirin
Secure Fors olarak, ISO 27001 ve ISO 27036 çerçevesinde tedarikçi güvenlik anketleri ve TPRM programı danışmanlığı sunuyoruz.
