Tedarikçi Güvenlik Denetimi

Secure Fors — TPRM Hizmetleri

Tedarikçi Güvenlik Denetimi

Tedarikçileriniz sizin en güçlü savunma hattınızın arkasından içeri girer. Tedarikçi güvenlik denetimi, bu erişimi görünür kılar, ölçer ve güvenli hale getirir.

%60+

büyük veri ihlali
üçüncü taraf kaynaklı

287 gün

tedarikçi kaynaklı ihlalde
ortalama tespit süresi

1/3

kurum geçen yıl
tedarik zinciri saldırısına maruz kaldı

Bu Yazıda

  1. Tedarikçi Güvenlik Denetimi Nedir ve Ne Değildir?
  2. Yasal Zorunluluk mu, İyi Uygulama mı? Türkiye’deki Çerçeve
  3. Kim Denetlemeli? İç Kaynak, Dış Danışman veya Hibrit
  4. Hangi Tedarikçiyi Önce Denetle? Kritiklik Matrisi
  5. Denetim Metodolojisi: Belgeden Sahaya
  6. Denetimde İncelenen 8 Kontrol Alanı
  7. Denetim Raporu Nasıl Hazırlanır?
  8. Ne Sıklıkta Denetim Yapılmalı?
  9. Bulgular Kapatılmadığında Ne Olur?
  10. Sık Sorulan Sorular

1. Tedarikçi Güvenlik Denetimi Nedir ve Ne Değildir?

Tedarikçi güvenlik denetimi; bir kuruluşun mal, hizmet veya teknoloji aldığı üçüncü tarafların — yazılım firmaları, veri işleyenler, bulut sağlayıcıları, bakım-onarım firmaları, danışmanlık şirketleri, lojistik ortaklar — bilgi güvenliği seviyesini ölçmek, belgelemek ve riske dayalı biçimde yönetmek amacıyla yürütülen sistematik bir değerlendirme sürecidir.

Bu süreç; bir anket formu doldurmaktan, kanıt doğrulamasına, saha ziyaretine ve periyodik izlemeye kadar uzanan çok katmanlı bir yapıdır. Tek seferlik değil, sürekli bir döngüdür.

Tedarikçi Güvenlik Denetimi…

Politika, belge ve teknik kanıtları inceler

Süreç ve kontrollerin etkinliğini ölçer

Standart ve yasal gereksinimlere uyumu doğrular

Risk skoruna dayalı düzeltici faaliyet önerir

İş ilişkisini belgeyle destekler; BGYS’ye entegre edilir

Tedarikçi Güvenlik Denetimi Değildir…

×

Penetrasyon testi — aktif saldırı simülasyonu değil

×

Zafiyet taraması — teknik tarama araçlarıyla otomatik test değil

×

Tek seferlik olay — periyodik izlemeyi kapsayan bir döngüdür

×

Sertifika kontrolü — ISO 27001 sertifikası doğrulamanın tamamı değil

×

Tedarikçiyi cezalandırma aracı — iyileştirmeye odaklı bir süreçtir

2. Yasal Zorunluluk mu, İyi Uygulama mı? Türkiye’deki Çerçeve

Türkiye’de tedarikçi güvenlik denetimi artık yalnızca “iyi uygulama” değil; birden fazla yasal ve standart çerçeve tarafından doğrudan ya da dolaylı biçimde zorunlu kılınmaktadır.

Çerçeve Madde / Kontrol Tedarikçi Denetimine Etkisi Nitelik
ISO 27001:2022 Ek A 5.19–5.22
Madde 8.4		 Tedarikçi ilişkilerinin politikayla yönetilmesi, sözleşmelere güvenlik gereksinimlerinin eklenmesi ve periyodik izleme. Sertifika için zorunlu. Sertifikasyon
KVKK Madde 12
Veri güvenliği yükümlülükleri		 Veri sorumlusu, veri işleyen konumundaki tedarikçinin güvenliğini sağlamakla yükümlüdür. İmzalanmış VİS ve tedarikçi güvenlik değerlendirmesi zorunlu. Yasal Zorunlu
Siber Güvenlik Kanunu 2025 Kritik altyapı
Tedarik zinciri güvenliği		 Kritik altyapı işleten kurumların tedarik zincirini güvenceye alması ve denetlemesi zorunlu. Mart 2025’te yürürlüğe girdi. Yasal Zorunlu
BDDK / BİGR Dış hizmet alımı
Risk yönetimi yönetmeliği		 Bankacılık sektöründe dış hizmet sağlayıcıların yıllık güvenlik denetimi zorunlu. Denetim hakkı sözleşmeye eklenmeli. Sektörel Zorunlu
EASA Part-IS / SHGM SHT-IS Havacılık bilgi güvenliği Havacılık sektöründe tedarikçilerin bilgi güvenliği gereksinimlerine uyumu ve periyodik doğrulama zorunlu. Sektörel Zorunlu

Önemli: KVKK kapsamında veri sorumlusu olarak, veri işleyen tedarikçinizin güvenlik ihlalinden siz de sorumlu tutulabilirsiniz. “Tedarikçimiz kendi işini bilir” savunması, KVKK Madde 12 karşısında yasal zemin oluşturmaz.

3. Kim Denetlemeli? İç Kaynak, Dış Danışman veya Hibrit

Tedarikçi güvenlik denetimini kimin yürüteceği, denetimin kalitesini ve bağımsızlığını doğrudan etkiler. Üç seçenek vardır:

İç Kaynak

Kendi BGYS / bilgi güvenliği ekibi

Avantajlar

  • Kurumu tanıma avantajı
  • Düşük dışsal maliyet
  • Esneklik ve hız

Kısıtlar

  • Tarafsızlık sorgulanabilir
  • Denetim uzmanlığı eksik olabilir
  • ISO 27001 denetçi yetkinliği gerekmez
Önerilen

Bağımsız Dış Danışman

Uzman TPRM / denetim firması

Avantajlar

  • Tam bağımsızlık ve tarafsızlık
  • Sektör kıyaslaması ve benchmark
  • ISO 27001 Lead Auditor yetkinliği
  • Tedarikçiyle ilişkiyi korur
  • Denetim raporunu ISO 27001 kanıtı olarak kullanabilirsiniz

Kısıtlar

  • Ek maliyet
  • Bilgi aktarımı gerektirir

Hibrit Model

İç ekip + dış danışman iş birliği

Avantajlar

  • İç bağlamı dış uzmanlıkla birleştirir
  • Ekip yetkinliğini geliştirir
  • Ölçeklenebilir yapı

Kısıtlar

  • Koordinasyon gerektirir
  • Sorumluluk paylaşımı netleştirilmeli

Pratik kural: Kritik tedarikçiler, kişisel veri işleyenler ve ISO 27001 denetimine kanıt sağlayacak değerlendirmeler için bağımsız dış danışman tercih edilmelidir. Orta ve düşük kritiklikdeki tedarikçiler için hibrit veya iç kaynak yeterli olabilir.

4. Hangi Tedarikçiyi Önce Denetle? Kritiklik Matrisi

Onlarca tedarikçisi olan bir kuruluşun hepsini aynı anda aynı kapsamda denetlemesi kaynak açısından mümkün değildir. Doğru önceliklendirme için aşağıdaki iki ekseni kullanın:

Tedarikçi Önceliklendirme Matrisi

Düşük Erişim / Veri

Yüksek Erişim / Veri

Yüksek İş Etkisi

Yüksek

Yıllık denetim
Güvenlik anketi + saha

Kritik

Yıllık tam denetim
6 ayda bir izleme

Düşük İş Etkisi

Düşük

3 yılda bir
veya standart anketi

Orta

2 yılda bir denetim
Belge doğrulama

Dikey eksen: iş sürekliliğine etkisi | Yatay eksen: eriştiği veri ve sistem hassasiyeti

Otomatik Olarak Kritik Kategoriye Giren Tedarikçiler

Kişisel veriye erişen veya işleyen tüm tedarikçiler (KVKK zorunluluğu)

Temel iş sistemlerine (ERP, CRM, muhasebe) erişimi olan firmalar

Bulut altyapı sağlayıcıları (IaaS, PaaS, SaaS)

Ağ veya sistemlere uzaktan erişimi olan yazılım / bakım firmaları

Gizli iş veya ticari bilgiye erişen danışmanlar ve yükleniciler

Operasyonel sürekliliği doğrudan etkileyen lojistik veya üretim ortakları

5. Denetim Metodolojisi: Belgeden Sahaya

Profesyonel bir tedarikçi güvenlik denetimi dört katmanlı metodoloji ile yürütülür. Her katman birbirini tamamlar; birinin atlanması sonucu güvenilmez kılar:

Katman 1

Güvenlik Anketi
(VSQ)

Başlangıç değerlendirmesi

Tedarikçiye kapsamlı bir güvenlik anketi gönderilir. Politikalar, teknik kontroller, sertifikalar, olay geçmişi, alt yüklenici kullanımı ve KVKK uyumu sorgulanır. Anket yanıtları ön risk skoru oluşturur.

Politika soruları Teknik kontroller Uyum belgeleri Olay geçmişi

Katman 2

Belge İncelemesi
ve Doğrulama

Kanıt temelli doğrulama

Ankete verilen yanıtlar kanıtla doğrulanır. ISO 27001/42001 sertifikası ve kapsamı, penetrasyon testi raporu, KVKK veri envanteri, iş sürekliliği planı, erişim yönetimi kayıtları bizzat incelenir. “Var” yanıtı kanıtsız kabul edilmez.

Sertifika kapsamı Pentest raporu BCP/DRP belgesi Erişim logları

Katman 3

Görüşme
ve Gözlem

Kritik tedarikçiler için

Kritik tedarikçiler için uzaktan veya yerinde görüşme yapılır. BT yöneticisi, BGYS yöneticisi ve operasyonel ekiple birebir görüşmeler gerçekleştirilir. Saha ziyaretinde fiziksel güvenlik, sunucu odası erişimi ve canlı sistem kontrolleri gözlemlenir.

BT yöneticisi görüşmesi Fiziksel güvenlik Canlı sistem

Katman 4

Raporlama ve
Takip

Kapatmaya kadar sürer

Bulgular kritiklik düzeyine göre sınıflandırılır, risk skoru hesaplanır ve resmi denetim raporu hazırlanır. Kritik bulgular için kapatma tarihleri belirlenir ve takip denetimi (follow-up) planlanır. Bu aşama olmadan denetim yarım kalır.

Yönetici özeti Risk skoru Düzeltici faaliyet planı Follow-up denetim

6. Denetimde İncelenen 8 Kontrol Alanı

Kapsamlı bir tedarikçi güvenlik denetimi sekiz ana kontrol alanını kapsar. Her alanın ağırlığı, tedarikçinin kritiklik düzeyine ve iş ilişkisinin niteliğine göre belirlenir:

Bilgi Güvenliği Yönetimi

Kritik
  • BGYS politikası ve prosedürleri var mı?
  • ISO 27001 veya eşdeğer sertifika mevcut mu; kapsamı ne?
  • Yıllık güvenlik gözden geçirme kaydı var mı?
  • Üst yönetim bilgi güvenliğini aktif olarak sahipleniyor mu?

Erişim ve Kimlik Yönetimi

Kritik
  • En az ayrıcalık ilkesi uygulanıyor mu?
  • Çok faktörlü kimlik doğrulama (MFA) zorunlu mu?
  • Ayrıcalıklı hesaplar (PAM) izleniyor mu?
  • Bireysel hesap kullanımı sağlanıyor mu; paylaşılan hesap var mı?

Veri Güvenliği ve KVKK

Yüksek
  • Veri işleme envanteri mevcut ve güncel mi?
  • Transit ve rest halinde şifreleme uygulanıyor mu?
  • Veri sınıflandırma politikası var mı?
  • Sözleşme bitiminde veri imhası/iadesi prosedürü tanımlı mı?

Ağ ve Altyapı Güvenliği

Yüksek
  • Güvenlik duvarı ve ağ segmentasyonu var mı?
  • Güvenlik açıkları periyodik taranıyor mu?
  • Yama yönetimi süreci tanımlı ve uygulanıyor mu?
  • Uzaktan erişimde VPN veya Zero Trust kullanılıyor mu?

İş Sürekliliği ve Felaket Kurtarma

Orta-Yüksek
  • BCP ve DRP belgeli mi ve test edilmiş mi?
  • RTO ve RPO değerleri tanımlı mı?
  • Yedekleme sıklığı ve kurtarma prosedürü belgelenmiş mi?
  • Son tatbikat tarihi ve sonuçları kayıtlı mı?

Olay Yönetimi

Orta-Yüksek
  • Güvenlik olayı raporlama prosedürü var mı?
  • Müşteriye bildirim süresi (72 saat) tanımlı mı?
  • Geçmiş güvenlik olayları şeffaf biçimde paylaşılıyor mu?
  • Olay kayıtları tutuluyor ve analiz ediliyor mu?

İnsan Kaynağı Güvenliği

Orta
  • Güvenlik farkındalık eğitimi zorunlu mu ve kayıtlı mı?
  • İşe alımda arka plan kontrolü yapılıyor mu?
  • Gizlilik sözleşmeleri (NDA) imzalatılıyor mu?
  • Görevden ayrılma prosedüründe erişim kapatma var mı?

4. Taraf (Alt Tedarikçi) Riski

Orta
  • Tedarikçinin kritik alt yüklenicileri var mı?
  • Güvenlik gereksinimleri alt yüklenicilere yansıtılmış mı?
  • Alt yüklenici değişiklikleri bildirim gerektiriyor mu?
  • Veriniz alt yükleniciye aktarılıyor mu? Ne kapsamda?

7. Denetim Raporu Nasıl Hazırlanır?

Denetim raporu, tüm sürecin somut çıktısıdır. İyi hazırlanmış bir rapor hem tedarikçiye yol haritası, hem de ISO 27001 denetimine kanıt sağlar. Standart bir rapor şu bölümlerden oluşur:

Bölüm 1 — Yönetici Özeti

  • Denetim kapsamı ve tarihi
  • Genel risk skoru (0–100 veya Kritik/Yüksek/Orta/Düşük)
  • Bulgu sayısı: Kritik / Majör / Minör / Gözlem
  • Öne çıkan 3 kritik bulgu özeti
  • Üst yönetim kararı için öneri

Bölüm 2 — Metodoloji

  • Kullanılan denetim çerçevesi (ISO 27001, NIST vb.)
  • Denetim yöntemi (anket / belge / saha)
  • Değerlendirilen kontrol alanları
  • Kanıt toplama yaklaşımı
  • Kapsam dışı bırakılan alanlar ve gerekçesi

Bölüm 3 — Bulgular

  • Her bulgu için: Kontrol alanı, bulgu açıklaması, kanıt
  • Risk seviyesi: Kritik / Majör / Minör / Gözlem
  • İlgili standart maddesi (örn. ISO 27001 A.5.19)
  • KVKK veya yasal uyumsuzluk varsa belirtilmeli

Bölüm 4 — Düzeltici Faaliyet Planı

  • Her bulgu için önerilen düzeltici faaliyet
  • Öneri öncelik sırası ve kapatma süresi
  • Sorumlu taraf (tedarikçi / müşteri / her ikisi)
  • Takip denetimi tarihi

Bulgu sınıflandırması ve beklenen kapatma süreleri:

KRİTİK

Anında müdahale. Veri ihlali veya sistem ele geçirilmesine doğrudan yol açabilecek kontrol boşluğu. Paylaşılan hesaplar, MFA yokluğu, kritik yamalar uygulanmamış.

Kapatma

7–30 gün

MAJÖR

Kısa vadede giderilmeli. Önemli güvenlik açığı oluşturan kontrol boşluğu. Belgelenmemiş erişim, güncel olmayan risk değerlendirmesi, test edilmemiş DR planı.

Kapatma

30–90 gün

MİNÖR

Uyum eksikliği oluşturan, acil risk yaratmayan bulgular. Politika güncelleme gereklilikleri, eğitim kayıt eksiklikleri, süreç dokümantasyon boşlukları.

Kapatma

90–180 gün

GÖZLEM

İyi uygulama tavsiyeleri. Güvenlik olgunluğunu artıracak iyileştirme önerileri. Zorunlu değil, isteğe bağlı aksiyon.

Kapatma

İsteğe bağlı

8. Ne Sıklıkta Denetim Yapılmalı?

Denetim sıklığı; tedarikçinin kritiklik düzeyi, veri erişim kapsamı ve sektörel regülasyon gereksinimlerine göre belirlenir:

Kritik Tedarikçiler

Yılda 1

Tam denetim
+ 6 ayda bir izleme

Orta Kritiklik

2 Yılda 1

Denetim veya
belge doğrulama

Düşük Kritiklik

3 Yılda 1

Standart anketi
veya sertifika kontrolü

Periyoddan Bağımsız Yeniden Değerlendirme Tetikleyicileri: Tedarikçide önemli personel değişikliği — Tedarikçinin alt yüklenici değişikliği — Tedarikçide güvenlik ihlali haberi — Hizmet kapsamının genişlemesi — Yeni veri kategorisine erişim açılması — Tedarikçi sertifikasının yenilenmemesi veya askıya alınması.

Sahadan Gözlem

Türkiye’deki büyük kuruluşların tedarikçi ekosistemlerinde yürüttüğümüz denetimlerde, kritik bulgular arasında en sık karşılaştıklarımız şunlardır: birden fazla tedarikçi çalışanının aynı hesabı paylaşması, sözleşme bitmesine rağmen erişimin açık kalması ve KVKK kapsamında veri işleme sözleşmesinin hiç imzalanmamış olması. Bu üç bulgu, başka hiçbir kontrol alanına bakılmaksızın bile ciddi hukuki ve operasyonel risk oluşturur.

— Secure Fors, THY Tedarikçi Ekosistemi ve Sektörel Denetim Gözlemleri

9. Bulgular Kapatılmadığında Ne Olur?

Denetim yapmak yeterli değildir; asıl değer bulguların sistematik biçimde kapatılmasından gelir. Kapatılmayan bulgular zincirleme sonuçlar doğurur:

ISO 27001 Denetiminde

Önceki dönem bulgularının kapatılmadığı görülürse denetçi bu bulgular üzerinden uyumsuzluk açar. Tedarikçi yönetiminde açık bulgu, gözetim denetiminin en riskli gündem maddesi haline gelir.

KVKK Kapsamında

Kapatılmayan veri güvenliği bulgusu, bir ihlal halinde “gerekli teknik ve idari tedbirler alınmadı” tespitini güçlendirir. Kurul kararı ve idari para cezası riski artar.

İş İlişkisi Yönetiminde

Kritik bulguyu kapatmayan tedarikçi, gelecek sözleşme yenilemesinde risk gerekçesiyle değerlendirilmelidir. Bazı durumlarda tedarikçi değişimi veya kapsamın kısıtlanması gerekebilir.

Gerçek Risk Olarak

Kapatılmayan kritik bulgu, o tedarikçi üzerinden gerçekleşebilecek bir saldırıda sizi savunmasız bırakır. Tespit edilmiş ama kapatılmamış bir açık, fırsatçı saldırganlar için bilinen hedef haline gelir.

10. Sık Sorulan Sorular

Tedarikçimiz denetimi kabul etmiyorsa ne yapmalıyız?

Bu, başlı başına bir risk sinyalidir. İlk adım, sözleşmede denetim hakkı maddesinin bulunup bulunmadığını kontrol etmektir. Varsa yasal zemin mevcuttur. Yoksa bu hakkı yeni sözleşme döneminde müzakere edin. Tedarikçi hâlâ direniyor ve kritik veriye erişimi varsa bağımsız güvenlik belgesi (ISO 27001, SOC 2) talep edin; sunamıyorsa tedarikçi değişimini değerlendirin.

Tedarikçi ISO 27001 sertifikalı. Bu yeterli mi?

Hayır, tek başına yeterli değildir. Sertifikanın kapsamı sizinle çalışan birimi kapsamıyor olabilir. Sertifika süresi dolmuş veya askıya alınmış olabilir. Sertifika, kapsam dışındaki süreçler için güvence vermez. Sertifika incelemesi, denetimin yerini değil bir adımını oluşturur.

Küçük bir tedarikçiyi de denetlemek gerekiyor mu?

Belirleyici olan boyut değil, erişim ve veri türüdür. İki kişilik bir yazılım firması, kişisel sağlık verisine erişiyorsa büyük bir lojistik ortağından çok daha kapsamlı denetim gerektirir. Kritiklik matrisini tedarikçi büyüklüğüne değil, veriye ve sisteme etkisine göre kurun.

Tedarikçi denetimi ne kadar sürer?

Kapsamına göre değişir. Anket ve belge incelemesinden oluşan uzaktan denetim genellikle 5–10 iş günü sürer. Saha ziyaretini de kapsayan tam denetim 2–3 haftada tamamlanır. Tedarikçi yanıt süreleri bu süreyi uzatabilir; bu nedenle tedarikçiye önceden yeterli bildirim yapılması önemlidir.

Kaç tedarikçimizi denetlemeli ve nereden başlamalıyız?

Başlangıç noktası şu sorudur: “Hangi tedarikçi, yarın veri ihlali yaşasa bizim için en yıkıcı sonucu doğurur?” O tedarikçiden başlayın. Paralelde KVKK kapsamında kişisel veri işleyen tüm tedarikçilerin listesini çıkarın; bunlar yasal zorunluluk nedeniyle önce değerlendirilmeli. Başlamak için “mükemmel listeye” ihtiyacınız yok — 3–5 kritik tedarikçiyle başlamak, sıfır tedarikçiyi denetlemekten çok daha değerlidir.

Secure Fors Tedarikçi Güvenlik Denetimi Hizmeti

Tedarikçilerinizi Biz Denetle­yalım.
Siz Güvenle İş Yapın.

ISO 27001 Lead Auditor yetkinliğiyle, THY tedarikçi ekosistemi ve havacılık, finans, teknoloji sektörlerindeki saha deneyimimizle; tedarikçi envanterinden saha denetimine, KVKK uyumundan ISO 27001 denetim kanıtına kadar tüm süreci yönetiyoruz.

Tedarikçi envanteri ve kritiklik sınıflandırması

Güvenlik anketi (VSQ) hazırlama ve yönetimi

Belge incelemesi ve saha / uzaktan denetim

ISO 27001 Ek A 5.19–5.22 uyum değerlendirmesi

KVKK veri işleyen değerlendirmesi ve VİS desteği

Yönetici özeti + teknik bulgu raporu + takip denetimi

Havacılık Finans Teknoloji Enerji Üretim Savunma Lojistik
Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram