Tedarikçi Güvenlik Anketi (VSQ) Nasıl Hazırlanır?

Ana Sayfa Blog Tedarikçi Güvenlik Anketi (VSQ)
TPRM · Tedarikçi Güvenliği

Tedarikçi Güvenlik Anketi (VSQ) Nasıl Hazırlanır?
Türkiye Gerçeklerine Uygun Soru Seti

BDDK · DDO BİG Rehberi · KVKK · ISO 27036 kapsamında kapsamlı rehber
Ersin Erol — Siber Güvenlik Uzmanı 📅 Mart 2026 12 dakika okuma süresi
Tedarikçileriniz ne kadar güvenli? Bu soruya “bilmiyorum” veya “sözleşmede bir madde var” cevabını veriyorsanız, kurumunuz ciddi bir risk altında demektir. 2024 yılında Türkiye’de yaşanan veri ihlallerinin %43’ü doğrudan tedarikçi veya alt yüklenici kaynaklıydı. Bu rehberde, BDDK, DDO BİG Rehberi ve KVKK gerekliliklerini karşılayan, sahadan test edilmiş bir Tedarikçi Güvenlik Anketi (Vendor Security Questionnaire — VSQ) nasıl hazırlanır, adım adım anlatıyoruz.

1. Tedarikçi Güvenlik Anketi Neden Zorunlu Hale Geldi?

Artık bir şirketin güvenlik duruşunu yalnızca kendi sistemlerini koruyarak sağlamak mümkün değil. Bir yazılım tedarikçiniz, lojistik sağlayıcınız veya bulut altyapı firmanız üzerinden gerçekleşen bir saldırı, doğrudan sizin ihlal dosyanıza giriyor.

🔗 %43 Türkiye ihlallerinde tedarikçi payı (2024)
⚠️ 72 Ortalama tedarikçi sayısı — orta ölçekli şirket
📋 %8 VSQ uygulayan Türk şirketi oranı (tahmini)

Düzenleyici cephe de aynı yönde baskı kuruyor: BDDK’nın bilgi sistemleri tebliği, DDO BİG Rehberi’nin 3.5.3 maddesi ve KVKK’nın veri işleyenlerle ilgili maddeleri, tedarikçi güvenliğini artık iyi niyet değil, zorunluluk olarak tanımlıyor.

📌

Türkiye özelinde not: BDDK kapsamındaki finansal kuruluşlar için dış hizmet sağlayıcıların güvenlik değerlendirmesi, 2023 sonrası BT yönetişim tebliğiyle bağlayıcı hale gelmiştir. Aynı gereklilik DDO BİG Rehberi kapsamındaki kamu kurumları için de geçerlidir.

2. VSQ (Vendor Security Questionnaire) Nedir?

Tedarikçi Güvenlik Anketi (VSQ), kurumunuzun bir tedarikçi veya iş ortağıyla çalışmadan önce ya da mevcut ilişkiyi değerlendirirken uyguladığı yapılandırılmış bir soru setidir. Amacı tedarikçinin bilgi güvenliği olgunluk düzeyini ölçmek ve kurumunuzun risk toleransıyla ne ölçüde örtüştüğünü anlamaktır.

VSQ, tek başına bir araç değil, TPRM (Üçüncü Taraf Risk Yönetimi) programının temel bileşenlerinden biridir. Gelen cevaplar, tedarikçi sınıflandırması, sözleşme koşulları ve sürekli izleme kararlarına girdi sağlar.

3. VSQ Sürecinin 5 Adımı

1

Tedarikçi Envanterini Çıkarın

Hangi tedarikçiler kurumsal veriye, sisteme veya ağa erişiyor? Bu soruyu cevaplamadan anket sürecini başlatmak mümkün değildir. Varlık envanterinizle çapraz kontrol yapın.

2

Sınıflandırma ve Önceliklendirme

Tüm tedarikçilere aynı anketi uygulamak hem kaynak israfı hem de gereksiz sürtüşme yaratır. Kritiklik seviyesine göre üç katmanlı bir yaklaşım benimseyin. (Bkz. Tablo 1)

3

VSQ Gönderimi ve Takip

Anket, e-posta zincirinde kaybolmamalı. Mümkünse belirlenmiş bir platform veya güvenli form üzerinden gönderin. Cevap süresi için SLA tanımlayın (önerilen: 10 iş günü).

4

Değerlendirme ve Skorlama

Gelen cevapları önceden tanımlanmış bir puanlama rubriğine göre değerlendirin. Her kategori için ağırlık katsayısı belirleyin. Otomatize edemiyorsanız en azından standart bir Excel şablonu kullanın.

5

Karar ve Sürekli İzleme

Onay, koşullu onay veya red kararı. Onaylanan tedarikçiler için yıllık yeniden değerlendirme ve olay bildirimi yükümlülüğü sözleşmeye yansıtılmalıdır.

4. Tedarikçi Sınıflandırması: Hangi Anketi, Kime Göndermeli?

Her tedarikçiyi aynı detay düzeyinde değerlendirmek sürdürülebilir değildir. Aşağıdaki tablo, ISO 27036-1 ve DORA’daki “kritik ICT hizmet sağlayıcı” tanımından uyarlanan üç katmanlı sınıflandırmayı göstermektedir:

Seviye Özellik Örnekler VSQ Kapsamı Yenileme
KRİTİK Kritik veriye erişim, core sisteme entegrasyon, iş sürekliliğini doğrudan etkiler Çekirdek bankacılık yazılımı, bulut altyapı sağlayıcısı, ERP tedarikçisi Tam anket (60-80 soru) + yerinde denetim Yıllık + olay tetikleyici
ÖNEMLİ Sınırlı veri erişimi, destekleyici sistem entegrasyonu CRM çözümü, e-posta güvenlik servisi, İK yazılımı Orta anket (30-40 soru) 2 yılda bir
RUTİN Kurumsal veriye erişim yok veya çok sınırlı Ofis malzeme tedarikçisi, ulaşım sağlayıcısı, baskı firması Temel anket (10-15 soru) veya beyan formu 3 yılda bir
💡

Pratik ipucu: Kritiklik değerlendirmesinde üç soruyu kendinize sorun: (1) Bu tedarikçi erişimini kaybetsem iş sürekliliğim ne kadar etkilenir? (2) Bu tedarikçi hangi veri sınıflarına erişiyor? (3) Bu tedarikçi üzerinden gerçekleşecek bir ihlal KVKK bildirimi yükümlülüğü doğurur mu?

5. Türkiye’deki Düzenlemelerin VSQ’ya Yansıması

Türkiye’de faaliyet gösteren şirketler için VSQ’nun hangi regülasyon gerekliliklerini karşılaması gerektiği aşağıda özetlenmiştir:

🏦 BDDK BT Yönetişim Tebliği

  • Dış hizmet sağlayıcı güvenlik değerlendirmesi zorunlu
  • Kritik sistemlere erişen tedarikçiler için artırılmış inceleme
  • Tedarikçi olay bildirimi mekanizması şart
  • Yıllık yeniden değerlendirme beklentisi

🏛️ DDO BİG Rehberi 3.5.3

  • Tedarikçi ilişkileri güvenlik politikası zorunlu
  • Sözleşmelerde güvenlik maddeleri şart
  • Kabul kriterleri ile güvenlik kriterleri uyumlu olmalı
  • Tedarik zincirinin sürekli izlenmesi beklentisi

🔐 KVKK (Veri İşleyen İlişkisi)

  • Veri işleyen seçiminde yeterli güvence aranmalı
  • Teknik ve idari tedbirlerin varlığı doğrulanmalı
  • Alt veri işleyen zinciri kontrol edilmeli
  • Kişisel veri işleme sözleşmesi (DPA) zorunlu

🇪🇺 DORA (AB ile ilişkili şirketler)

  • ICT üçüncü taraf risk yönetimi çerçevesi şart
  • Kritik ICT hizmet sağlayıcı tespiti ve bildirim
  • Tedarikçi çıkış planı hazırlanması zorunlu
  • Yoğunlaşma riski değerlendirmesi

6. Türkiye Gerçeklerine Uygun VSQ Soru Seti

Aşağıdaki soru seti, Secure Fors’un THY, finans kurumları ve telekomünikasyon sektöründe yürüttüğü gerçek tedarikçi denetimleri deneyiminden derlenerek ISO 27036, NIST TPRM Çerçevesi ve Türkiye’deki regülasyon gereklilikleriyle uyumlu hale getirilmiştir. Sınıflandırmaya göre uygulanacak kategoriler parantez içinde belirtilmiştir.

KATEGORİ A

Bilgi Güvenliği Yönetim Sistemi (BGYS) Temelleri

  • ISO 27001 veya eşdeğer bir bilgi güvenliği sertifikasına sahip misiniz? Sertifika tarih ve kapsamını paylaşabilir misiniz? Kritik
  • Yazılı bir Bilgi Güvenliği Politikası mevcut mu? Son güncelleme tarihi nedir?
  • Bilgi güvenliği sorumluluğu atanmış bir yönetici/CISO var mı? Önemli+
  • Yıllık iç denetim veya risk değerlendirmesi gerçekleştiriyor musunuz?
  • Son 3 yılda gerçekleştirilen dış güvenlik denetimleri hakkında bilgi verebilir misiniz?
  • Çalışanlarınıza düzenli bilgi güvenliği farkındalık eğitimi veriliyor mu? Yıllık sıklığı nedir?
KATEGORİ B

Veri Güvenliği ve KVKK Uyumu

  • Kurumumuza ait verileri hangi ülke/ülkelerde işliyorsunuz ve depoluyorsunuz? Kritik
  • Kişisel verilerin yurt dışına aktarımı söz konusu mu? Hukuki dayanak nedir? Kritik
  • Kurumumuza ait verileri başka tedarikçilere (alt yükleniciler) aktarıyor musunuz? Dikkat
  • Durağan ve hareket halindeki veriler için şifreleme uyguluyor musunuz? Hangi standartlar?
  • Veri sınıflandırma politikanız var mı? Kişisel veriyi nasıl etiketliyorsunuz?
  • Sözleşme sona erdiğinde kurumumuza ait verilerin imhası için prosedürünüz nedir?
  • KVKK kapsamında VERBİS kaydınız var mı?
KATEGORİ C

Erişim Yönetimi ve Kimlik Güvenliği

  • Kurumumuzun sistemlerine veya verilerine hangi personel erişecek? Asgari yetki ilkesi uygulanıyor mu? Kritik
  • Uzaktan erişim yapılacak mı? Kullanılan yöntem ve VPN/PAM politikası nedir? Kritik
  • Ayrıcalıklı hesaplar (admin, root) için çok faktörlü kimlik doğrulama (MFA) uyguluyor musunuz?
  • Çalışan işten ayrılma sürecinde erişim iptali prosedürünüz nedir? Ortalama süre?
  • Kullanıcı erişim kayıtları (log) tutuluyor ve izleniyor mu? Saklama süresi?
  • Tedarikçinizin kendi tedarikçilerinin (4. taraf) erişimini nasıl yönetiyorsunuz? Dikkat
KATEGORİ D

Ağ ve Sistem Güvenliği

  • Kurumumuza ait veri veya sistemleri barındıran altyapı fiziksel olarak diğer müşterilerden ayrılmış mı? Önemli+
  • Güvenlik duvarı, IDS/IPS ve SIEM çözümleriniz var mı?
  • Yama yönetimi politikanız nedir? Kritik yamalar için maksimum uygulama süresi?
  • Son 12 ayda sızma testi (pentest) gerçekleştirdiniz mi? Bulguların durumu nedir? Rapor talep et
  • Bulut altyapısı kullanıyorsanız hangi sağlayıcılar? Paylaşımlı sorumluluk modeli nasıl yönetiliyor?
  • Geliştirme/test ortamlarında gerçek üretim verisi kullanılıyor mu?
KATEGORİ E

Olay Yönetimi ve İş Sürekliliği

  • Yazılı bir Siber Olay Müdahale Planınız (CSIRP) var mı? Son test tarihi? Kritik
  • Kurumumuzu etkileyen bir güvenlik olayında bildirim süreniz nedir? Kritik — SLA’ya yansıt
  • Son 3 yılda yaşanan güvenlik olayları veya veri ihlalleri hakkında özet bilgi verebilir misiniz?
  • İş Sürekliliği Planınız (BCP) ve Felaket Kurtarma Planınız (DRP) var mı? RTO/RPO değerleriniz?
  • Hizmet sürekliliği için yedeklilik (redundancy) ve failover mekanizmalarınız neler?
  • Siber sigorta poliçeniz var mı? Kapsamı ve teminat tutarı?
KATEGORİ F

Yazılım Geliştirme Güvenliği (Yalnızca Yazılım Tedarikçileri)

  • Güvenli yazılım geliştirme yaşam döngüsü (SSDLC) uyguluyorsunuz mu? Yazılım tedarikçisi
  • Statik ve dinamik kod analizi (SAST/DAST) araçları kullanıyor musunuz?
  • Açık kaynak bileşenlerin güvenlik açıklarını takip ediyor musunuz? (SCA/SBOM)
  • Tedarik ettiğimiz yazılımın kaynak kodu güvenlik denetiminden geçti mi?
  • Yazılım güncellemelerinin bütünlüğü nasıl doğrulanıyor? (kod imzalama, vb.)
  • Geliştirme ekibinde güvenlik farkındalık eğitimi (OWASP, vb.) sıklığı nedir?
KATEGORİ G

Fiziksel Güvenlik ve İnsan Kaynakları

  • Veri merkezleriniz veya ofislerinizde fiziksel erişim kontrolleri uygulanıyor mu?
  • İşe alım sürecinde güvenlik geçmişi araştırması (background check) yapıyor musunuz? Kritik veriye erişim için
  • Gizlilik anlaşmaları (NDA) tüm personel ve alt yüklenicilerle imzalanmış mı?
  • Uzaktan çalışma politikanız ve güvenli uzak erişim uygulamalarınız neler?
🚨

Kırmızı bayraklar — Bu cevaplar acil eskalasyon gerektiriyor: “MFA yok, yazılı politika yok, son 3 yılda denetim yok, olay bildirim süresi tanımsız, alt yüklenicilerden haberdar değiliz.” Bu cevaplardan herhangi biri, tedarikçi onay sürecini durdurmalıdır.

7. VSQ Cevaplarını Nasıl Puanlamalısınız?

Anket cevaplarının tutarlı bir şekilde değerlendirilebilmesi için basit bir puanlama sistemi tanımlamanız yeterlidir. Aşağıdaki ağırlıklı kategori tablosu, kritik tedarikçiler için önerilen bir yaklaşımı göstermektedir:

Kategori Ağırlık Tam Puan Eşik (Geçer)
BGYS Temelleri (Kat. A)%2020 puan12
Veri Güvenliği / KVKK (Kat. B)%2525 puan18
Erişim Yönetimi (Kat. C)%2020 puan14
Ağ & Sistem Güvenliği (Kat. D)%1515 puan10
Olay Yönetimi / İş Sürekliliği (Kat. E)%1515 puan10
Ek kategoriler (F, G)%55 puan3
TOPLAM%100100 puan75 (koşullu: 60-74)

75 ve üzeri: Onaylandı. 60–74: Koşullu onay — düzeltici eylem planı ile 90 gün içinde yeniden değerlendirme. 60 altı: Kritik tedarikçi statüsünde çalışılamaz, risk kabulü veya alternatif tedarikçi aranır.

8. TPRM Programınız Hangi Olgunluk Seviyesinde?

VSQ uygulamak, TPRM programının tek bileşeni değildir. Programınızın genel olgunluğunu değerlendirmek için aşağıdaki modeli kullanabilirsiniz:

Seviye 1 Farkında değil
Seviye 2 Reaktif / sözleşme bazlı
Seviye 3 VSQ + envanter mevcut
Seviye 4 Sürekli izleme, skorlama
Seviye 5 Entegre, otomatize TPRM

Türkiye’deki kurumların büyük çoğunluğu Seviye 1-2 arasındadır. VSQ uygulamasına geçiş, Seviye 3 için yeterli olmakla birlikte, regülasyonların beklediği standart Seviye 3-4 aralığına denk gelmektedir.

9. VSQ Uygularken Yapılan 5 Yaygın Hata

1. Herkese Aynı Anketi Göndermek

Kalem tedarikçisiyle çekirdek bankacılık yazılımı sağlayıcısına aynı soruları sormak hem verimsiz hem de sonuçları anlamsızlaştırır. Sınıflandırma olmadan VSQ sürdürülemez.

2. Cevabı Doğrulamadan Kabul Etmek

“ISO 27001 sertifikamız var” yanıtı yeterli değildir. Sertifika belgesini, kapsamını ve tarihini görmelisiniz. Kritik tedarikçiler için beyan yetersiz, kanıt gereklidir.

3. Dördüncü Tarafları Görmezden Gelmek

Tedarikçinizin kendi tedarikçileri de sizin risk hanenize yazılır. “Alt yüklenicilerimizi paylaşmıyoruz” cevabı başlı başına bir kırmızı bayraktır.

4. Bir Kez Yapıp Bırakmak

VSQ anlık bir fotoğraftır. Tedarikçinizin güvenlik duruşu 6 ay sonra değişmiş olabilir. Özellikle kritik tedarikçiler için yıllık yenileme zorunlu, olay tetikleyicili yenileme de planlanmalıdır.

5. Sonuçları Sözleşmeye Yansıtmamak

VSQ’dan elde edilen bulgular yalnızca bir dosyada kalıyorsa değersizdir. Minimum güvenlik gereklilikleri, olay bildirim süreleri ve denetim hakkı sözleşme maddelerine dönüşmelidir.

Sonuç

Tedarikçi Güvenlik Anketi, TPRM programınızın en görünür ve en somut bileşenidir. Doğru yapılandırılmış bir VSQ ile hem regülasyon yükümlülüklerinizi karşılarsınız hem de gerçek anlamda tedarik zinciri kaynaklı riskleri görünür kılarsınız.

Türkiye’ye özgü düzenlemeler (BDDK, DDO BİG, KVKK) bu süreci artık isteğe bağlı olmaktan çıkarmıştır. Sorulara verilen cevapları sözleşme koşullarına, denetim planlarına ve sürekli izleme mekanizmalarına bağladığınızda ortaya gerçek bir TPRM programı çıkar — Excel tablosu değil.

📥

Ücretsiz VSQ Şablonu: Bu yazıdaki tüm soruları ve puanlama rubriğini içeren, Excel formatında hazır Tedarikçi Güvenlik Anketi şablonunu indirmek için buradan talepte bulunun. Sektörünüze özel (finans, havacılık, enerji) uyarlanmış versiyonlar da mevcuttur.

Tedarikçi Güvenlik Programınızı Birlikte Kuralım

Secure Fors olarak TPRM programı tasarımı, VSQ uygulaması ve tedarikçi denetimlerinde sektörel deneyim sunuyoruz. THY, Akbank ve Turkcell gibi kurumlarda sahada test edilmiş metodoloji ile yanınızdayız.

Ücretsiz Danışmanlık Alın →
📞 0850 305 4223 · bilgi@securefors.com
🔗

İlgili okumalar: Tedarikçi Denetimi (TPRM) Hizmetimiz · Üçüncü Taraf Kaynaklı Siber Risk Yönetimi · DORA Danışmanlığı

Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram