Bu Yazıda
- Tedarikçi Güvenlik Denetimi Nedir?
- Neden Kritik? Türkiye ve Küresel Tablo
- Denetim Türleri: 1., 2. ve 3. Taraf
- Adım Adım Denetim Süreci
- Denetimde İncelenen Kontrol Alanları
- Yasal ve Standart Zorunluluklar
- Denetim Sonrası: Bulgular ve Düzeltici Faaliyetler
- Sık Yapılan Hatalar
- Sık Sorulan Sorular
1. Tedarikçi Güvenlik Denetimi Nedir?
Tedarikçi güvenlik denetimi; bir kuruluşun mal veya hizmet aldığı üçüncü tarafların — yazılım firmaları, bulut sağlayıcıları, bakım firmaları, danışmanlık şirketleri, lojistik ortaklar ve benzerleri — bilgi güvenliği düzeyini sistematik biçimde inceleme, ölçme ve belgeleme sürecidir.
Bu denetim; yalnızca bir anket formu doldurmaktan ibaret değildir. Politika incelemesi, kanıt doğrulaması, teknik kontroller ve gerektiğinde saha ziyaretini kapsayan çok katmanlı bir değerlendirme sürecidir.
Temel Amaçlar
Tedarikçinin bilgi güvenliği olgunluğunu ölçmek
Üçüncü taraf kaynaklı riskleri erken tespit etmek
ISO 27001 Madde 8.4 ve KVKK yükümlülüklerini karşılamak
Tedarikçi sözleşme gereksinimlerine uyumu doğrulamak
Düzeltici faaliyetlerle güvenlik seviyesini yükseltmek
Tedarikçi seçim ve yenileme kararlarına kanıt üretmek
2. Neden Kritik? Türkiye ve Küresel Tablo
Tedarik zinciri saldırıları artık kurumsal güvenliğin en öngörülemeyen ve en pahalı tehdit vektörü konumundadır. Saldırganlar, büyük kurumların güçlü savunmalarını aşmak yerine, aynı verilere erişimi olan daha az korumalı tedarikçiyi hedef almaktadır.
Rakamlarla Gerçek
1/3
kurum geçen yıl tedarik zinciri saldırısına maruz kaldı
%60+
büyük veri ihlali üçüncü taraf zafiyetinden kaynaklanıyor
287
gün ortalama ihlal tespit süresi — üçüncü taraf kaynaklı
4,5M$
ortalama üçüncü taraf ihlalinin maliyeti (IBM 2024)
Türkiye’ye özgü: Kaspersky 2025 araştırmasına göre Türk işletmelerinin önemli bir bölümünde yüklenici sözleşmelerinde net bilgi güvenliği yükümlülüğü bulunmuyor. Bu, tedarikçi kaynaklı risklerin hem sözleşmesel hem teknik olarak sahipsiz kaldığı anlamına geliyor.
Gerçek Dünya Senaryosu
Bir havacılık firması, çalışanlarına kullandırdığı insan kaynakları yazılımı sağlayıcısının sistemine yapılan saldırıda onlarca çalışanının kimlik ve pasaport bilgilerinin sızdığını öğreniyor. Kendi sistemleri saldırıya uğramamıştır. Ancak KVKK kapsamında veri sorumlusu olarak sorumluluk yine kendisine ait. Tedarikçi denetimi yapılsaydı, bu yazılım firmasının iki faktörlü kimlik doğrulama kullanmadığı denetimde tespit edilecekti.
3. Denetim Türleri: 1., 2. ve 3. Taraf
Tedarikçi güvenlik denetimleri kim tarafından yürütüldüğüne göre üç kategoride ele alınır. Her birinin güçlü ve zayıf yanları vardır:
4. Adım Adım Tedarikçi Güvenlik Denetim Süreci
Profesyonel bir tedarikçi güvenlik denetimi altı aşamada yürütülür. Her aşamanın net girdileri, çıktıları ve sorumlulukları vardır:
Aşama 1
Kapsam ve Sınıflandırma
1–3 iş günü
Ne yapılır?
Denetlenecek tedarikçi belirlenir, kritiklik düzeyi (yüksek / orta / düşük) belirlenir, denetim kapsamı (sistemler, veri türleri, erişim noktaları) tanımlanır.
Çıktı
Denetim kapsamı belgesi, iletişim planı, tedarikçiye ön bilgilendirme yazısı.
Aşama 2
Güvenlik Anketi (VSQ)
3–7 iş günü
Ne yapılır?
Kapsamı belirlenmiş standart güvenlik anketi tedarikçiye iletilir. Politikalar, teknik kontroller, uyum belgeleri, olay geçmişi ve sertifikalar sorgulanır.
Çıktı
Doldurulmuş VSQ, eksik kanıtların listesi, ön risk göstergesi.
Aşama 3
Belge İncelemesi
2–4 iş günü
Ne yapılır?
ISO 27001 sertifikası, penetrasyon testi raporu, KVKK veri envanteri, iş sürekliliği planı, güvenlik politikaları ve erişim yönetimi kayıtları incelenir ve doğrulanır.
Çıktı
Belge doğrulama matrisi, eksiklik listesi, ilk bulgu taslağı.
Aşama 4
Saha / Uzaktan Denetim
1–2 gün
Ne yapılır?
Kritik tedarikçiler için yerinde ziyaret; yöneticiler ve teknik ekiple görüşme, fiziksel güvenlik gözlemi, canlı sistem kontrolleri (erişim logu, yetkilendirme, yedekleme).
Çıktı
Denetim notları, kanıt fotoğrafları / ekran görüntüleri, sözlü olarak teyitlenen bulgular.
Aşama 5
Raporlama
2–3 iş günü
Ne yapılır?
Bulgular uyumsuzluk seviyesine göre sınıflandırılır (kritik / majör / minör / gözlem). Risk skoru hesaplanır. Yönetici özeti ve teknik detay içeren resmi rapor hazırlanır.
Çıktı
Denetim raporu (yönetici özeti + teknik bulgular), tedarikçi risk skoru, öneriler matrisi.
Aşama 6
Takip ve İzleme
Süregelen
Ne yapılır?
Kritik bulgular için kapatma tarihleri belirlenir. Düzeltici faaliyetlerin gerçekleştirildiği doğrulanır (follow-up denetim). Bir sonraki periyodik denetim takvimi planlanır.
Çıktı
Kapalı bulgu kayıtları, güncellenmiş risk skoru, yeniden denetim takvimi, BGYS’ye entegrasyon.
5. Denetimde İncelenen Kontrol Alanları
Kapsamlı bir tedarikçi güvenlik denetimi sekiz ana kontrol alanını inceler. Her alanın denetimde ağırlığı, tedarikçinin iş ilişkisinin niteliğine göre belirlenir:
Bilgi Güvenliği Yönetimi
Kritik- BGYS politikası ve prosedürleri var mı?
- ISO 27001 veya eşdeğer sertifikasyon mevcut mu?
- Üst yönetim bilgi güvenliğini sahipleniyor mu?
- Yıllık güvenlik gözden geçirme yapılıyor mu?
Erişim ve Kimlik Yönetimi
Kritik- En az ayrıcalık ilkesi (least privilege) uygulanıyor mu?
- Çok faktörlü kimlik doğrulama (MFA) kullanılıyor mu?
- Ayrıcalıklı hesaplar (PAM) yönetiliyor mu?
- Görevden ayrılanlarda erişim iptali prosedürü var mı?
Veri Güvenliği ve KVKK
Kritik- Veri işleme envanteri mevcut mu?
- Şifreleme (transit + at-rest) uygulanıyor mu?
- Veri sınıflandırma politikası var mı?
- Veri silme ve imha prosedürleri belgelenmiş mi?
Ağ ve Altyapı Güvenliği
Yüksek- Güvenlik duvarı ve ağ segmentasyonu var mı?
- Güvenlik açıkları periyodik taranıyor mu?
- Yama yönetimi süreci tanımlı mı?
- VPN veya sıfır güven erişimi kullanılıyor mu?
İş Sürekliliği ve DR
Yüksek- BCP ve DRP belgeli ve test edilmiş mi?
- Yedekleme sıklığı ve kurtarma süreleri (RTO/RPO) tanımlı mı?
- Kritik sistemlerin yedek altyapısı var mı?
- Tatbikat kaydı mevcut mu?
Olay Yönetimi
Yüksek- Güvenlik olayı raporlama prosedürü var mı?
- Müşteriye bildirim süresi (örn. 72 saat) sözleşmede mi?
- Olay kayıtları tutuluyor ve analiz ediliyor mu?
- Geçmiş güvenlik olayları açıklanmış mı?
İnsan Kaynağı Güvenliği
Orta- Güvenlik farkındalık eğitimi veriliyor mu?
- İşe alımda arka plan kontrolü yapılıyor mu?
- Gizlilik sözleşmeleri (NDA) imzalatılıyor mu?
- Çalışanların güvenlik politikalarından haberi var mı?
4. Taraf (Alt Tedarikçi) Riski
Orta- Tedarikçinin kendi tedarikçileri var mı?
- Alt yüklenicilere güvenlik şartları yansıtılmış mı?
- Kritik veriler alt tedarikçiye aktarılıyor mu?
- Alt yüklenici değişikliklerinde bildirim yükümlülüğü var mı?
6. Yasal ve Standart Zorunluluklar
Tedarikçi güvenlik denetimi Türkiye’de artık yalnızca iyi uygulama değil, birden fazla yasal çerçeve kapsamında doğrudan veya dolaylı olarak zorunlu bir yükümlülüktür:
7. Denetim Sonrası: Bulgu Sınıflandırması ve Düzeltici Faaliyetler
Denetim, raporun teslim edilmesiyle bitmez. Bulguların etkin biçimde yönetilmesi, denetimin gerçek değerini üretir. Uluslararası uygulamayla örtüşen dört seviyeli sınıflandırma:
KRİTİK
Anında müdahale gerektiren, veri ihlali veya hizmet kesintisine yol açabilecek bulgular. Paylaşılan hesaplar, açık MFA eksikliği, kritik yamalar uygulanmamış.
Kapatma:
7–30 gün
MAJÖR
Kısa vadede giderilmesi gereken, güvenlik kontrollerinde önemli boşluk yaratan bulgular. Belgelenmemiş erişim yetkileri, güncel olmayan risk değerlendirmesi, test edilmemiş DR planı.
Kapatma:
30–90 gün
MİNÖR
Uyum eksikliği oluşturan ancak acil risk yaratmayan bulgular. Politika güncellemeleri, eğitim kayıtlarının eksikliği, süreç dokümantasyon boşlukları.
Kapatma:
90–180 gün
GÖZLEM
Zorunlu olmayan ancak güvenlik olgunluğunu artıracak öneriler. İyi uygulama tavsiyeleri, otomasyon fırsatları, süreç verimliliği önerileri.
Kapatma:
İsteğe bağlı
Sahadan Gözlem
Türkiye’de yürüttüğümüz ikinci taraf denetimlerinde en sık karşılaştığımız kritik bulgular şunlardır: paylaşılan yönetici hesapları, MFA’nın yalnızca belirli sistemlerde aktif olması, KVKK kapsamında geçerli veri işleme sözleşmesinin bulunmaması ve üçüncü taraf erişim loglarının tutulmaması.
— Secure Fors, THY Tedarikçi Ekosistemi ve Sektörel Denetim Gözlemleri
8. Tedarikçi Güvenlik Denetiminde Sık Yapılan Hatalar
Denetim sürecinin etkinliğini düşüren, sahada tekrar eden hatalar:
Sertifikayı denetim yerine koymak
ISO 27001 sertifikası, kapsamın sınırlı olabileceğini göstermez. Sertifika, denetimin yerini tutmaz; tamamlayıcı kanıttır.
Anket cevaplarını doğrulamamak
“MFA kullanıyoruz” cevabı, sistemde aktif olduğu anlamına gelmez. Her kritik kontrol kanıt (log, ekran görüntüsü, konfigürasyon) ile doğrulanmalıdır.
4. tarafı (alt tedarikçiyi) görmezden gelmek
Tedarikçinizin kritik verilerinizi kendi alt yüklenicisine aktarması halinde risk kaybolmaz, yalnızca görünmez hale gelir.
Denetimi tek seferlik saymak
İki yıl önce geçen bir tedarikçi bugün risk taşıyor olabilir. Personel değişimi, yeni sistemler, yeni alt yükleniciler güvenlik durumunu değiştirir.
Sözleşmede denetim hakkı olmadan başlamak
Tedarikçi sözleşmesinde “denetim hakkı” maddesi yoksa firma belge paylaşmayı reddedebilir. Denetim hakkı sözleşme imzalanmadan önce müzakere edilmelidir.
Düzeltici faaliyetleri takip etmemek
Kritik bulgular raporlandıktan sonra kapatıldığı doğrulanmıyorsa, denetim kağıt üzerinde kalmış demektir. Follow-up süreci denetim kadar önemlidir.
9. Sık Sorulan Sorular
Tedarikçi güvenlik denetimi ne sıklıkla yapılmalıdır?
Kritik tedarikçiler (kişisel veri işleyen, kritik sisteme erişen) için yılda en az bir kez denetim önerilir. Orta kritiklik düzeyindeki tedarikçiler için iki yılda bir yeterli olabilir. Tedarikçide önemli bir değişiklik (personel, altyapı, kapsam genişlemesi) söz konusu olduğunda denetim döngüsünden bağımsız olarak yeniden değerlendirme yapılmalıdır.
Denetim uzaktan mı, sahada mı yapılmalıdır?
Her ikisinin de yeri vardır. Kritik tedarikçiler için saha ziyareti tercih edilir; fiziksel güvenlik, operasyonel kontroller ve gerçek sistem durumu yalnızca yerinde görülebilir. Orta ve düşük kritiklikte uzaktan görüşme ve belge incelemesi yeterli olabilir. Belgelerin doldurulup gönderilmesine dayanan tam uzaktan yöntem ise kanıt doğrulamasını zorlaştırır ve güvenilirliği düşürür.
Tedarikçim denetimi kabul etmezse ne yapmalıyım?
Bu başlı başına bir risk sinyalidir. Önce sözleşmede denetim hakkı maddesinin bulunup bulunmadığı kontrol edilmelidir. Varsa hukuki yol açık, yoksa müzakere edilmelidir. Tedarikçi hâlâ direniyor ve kritik verilere erişimi varsa, bağımsız güvenlik belgesi (ISO 27001, SOC 2) sunması talep edilmeli; sunamıyorsa tedarikçi değişimi değerlendirilmelidir.
Küçük bir tedarikçiyi de denetlemeliyim?
Tedarikçinin büyüklüğü değil, eriştiği verinin ve sistemin kritikliği belirleyicidir. Kişisel sağlık verisine erişen iki kişilik bir yazılım firması, ofis kırtasiyesi tedarik eden büyük bir firmadan çok daha kapsamlı denetim gerektirebilir. Kritiklik matrisini boyuta değil, erişim ve veri türüne göre kurun.
Tedarikçi denetimi için iç ekibim yeterli mi, yoksa dış danışman mı almalıyım?
İç ekipte bilgi güvenliği uzmanlığı, denetim metodolojisi ve yeterli zaman varsa bazı denetimler iç kaynaklarla yürütülebilir. Ancak dış danışman; bağımsız bakış açısı, deneyimli denetim metodolojisi, sektör kıyaslaması ve tedarikçiyle ilişkiyi etkilememe avantajı sağlar. Kritik tedarikçiler, düzenleyici uyum gerektiren durumlar ve ilk kez oluşturulan TPRM programı için dış uzmanlık tercih edilmelidir.
