Tedarikçi Siber Risk Değerlendirmesi Nedir ?

🕒 Okuma süresi: ~9 dakika | Kategori: TPRM / Tedarikçi Güvenliği

TPRM Tedarikçi Denetimi ISO 27001 A.5.19 Risk Yönetimi KVKK NIS2

Kendi sisteminiz ne kadar güvenli olursa olsun, bir tedarikçinizin açığı tüm kurumunuzu riske atabilir. SolarWinds saldırısında 18.000’den fazla kuruluş etkilendi — bunların büyük çoğunluğunun kendi iç sistemleri sağlamdı. Tedarikçi siber risk değerlendirmesi, bu zincirleme tehlikeyi kör nokta olmaktan çıkarır.

%62

Veri ihlallerinin üçüncü taraflardan kaynaklanma oranı (IBM, 2024)

$4.9M

Tedarik zinciri kaynaklı ihlalin ortalama maliyeti (USD, 2024)

%58

Şirketlerin tedarikçilerini düzenli denetlemediğini belirtiyor

72 saat

ISO 27001 ve NIS2’nin olay bildirimi için öngördüğü azami süre

Bu rehber; bir tedarikçiyle ilişkiye geçmeden önce veya mevcut ilişkilerinizi gözden geçirirken uygulamanız gereken 6 adımlı değerlendirme sürecini, doğru metodoloji seçimini, Türkiye’ye özgü KVKK boyutunu ve somut infografikleri bir arada sunuyor.

Tedarikçi Siber Risk Değerlendirmesi Neden Farklıdır?

Klasik siber güvenlik risk değerlendirmesi kendi varlıklarınıza odaklanır. Tedarikçi odaklı değerlendirme ise sizi başkasının sisteminden kaynaklanabilecek tehditlere karşı korur. Bu iki süreç birbirini tamamlar; biri diğerinin yerini tutamaz.

⚠ Kritik Nokta — ISO 27001:2022 Zorunluluğu

ISO 27001:2022, Madde A.5.19–A.5.22 kapsamında tedarikçilerle ilgili politika, sözleşme gereklilikleri, tedarik zinciri güvenliği ve sürekli izleme süreçlerini açıkça zorunlu kılmaktadır. Bu bir “iyi uygulama” değil, belgelenmesi gereken sertifikasyon gerekliliğidir.

6 Adımlı Süreç — Görsel Özet

Envanter & Kritiklik Sınıflandırması

Metodoloji & Kriter Belirleme

Güvenlik Anketi Gönderimi

Yanıt Analizi & Boşluk Tespiti

Risk Kararı

Sürekli İzleme

Adım Adım Uygulama Rehberi

1Adım

Tedarikçi Envanteri Oluşturun ve Kritiklik Düzeyi Atayın

Değerlendirmeye başlamadan önce hangi tedarikçilerin kapsama alınacağını belirlemeniz gerekir. Tüm tedarikçiler eşit risk taşımaz; kritiklik sınıflandırması zaman ve bütçenizi doğru yönlendirmenizi sağlar.

KRİTİK (A)

Kişisel veri / kritik altyapı erişimi

Tam denetim + anlık izleme

YÜKSEK (B)

Kurumsal ağa uzaktan erişim

Yıllık tam değerlendirme

ORTA (C)

Sınırlı veri / fiziksel erişim

Standart anket yeterli

DÜŞÜK (D)

Dijital erişimi olmayan

Sözleşme maddesi yeterli

Düzey	Tanım	Örnek Tedarikçi	Değerlendirme
KRİTİK A	Kişisel veri, ödeme verisi veya kritik altyapıya erişim	ERP sağlayıcısı, bulut hosting, ödeme aracısı	Tam denetim + sürekli izleme
YÜKSEK B	Kurumsal ağa veya sistemlere uzaktan erişim	Yazılım bakım firması, yönetilen IT hizmetleri	Yıllık tam değerlendirme
ORTA C	Çok sınırlı veri erişimi veya fiziksel tesise giriş	Kargo firması, güvenlik şirketi	Standart anket
DÜŞÜK D	Dijital erişimi olmayan mal/hizmet sağlayıcı	Kırtasiye, temizlik şirketi	Sözleşme maddesi yeterli

2Adım

Metodoloji ve Risk Kriterlerini Belirleyin

Değerlendirmenin güvenilir olabilmesi için tekrarlanabilir bir metodoloji seçin. En yaygın iki yaklaşım:

Nitel analiz: Düşük / Orta / Yüksek / Kritik kategorik puanlama. Uygulaması hızlı, uzmanlık gerektirmez; çoğu Türk şirketi için ideal başlangıç noktasıdır.
FAIR metodolojisi (nicel): Riskleri parasal kayıp olasılığına çevirir. Yönetim kurulu sunumlarında güçlüdür; daha fazla veri gerektirir.

Nitel Matris (Olasılık × Etki)ISO 27001 Uyumu

FAIR (Factor Analysis of Information Risk)Nicel Doğruluk

NIST RMF (Risk Management Framework)Kapsamlılık

OCTAVE AllegroÖrgütsel Uyum

💡 Öneri

Türkiye ölçeğindeki çoğu şirket için nitel matris + ağırlıklı puanlama kombinasyonu hem uygulanabilir hem de ISO 27001 denetim kanıtı olarak kabul görmektedir. Her risk için olasılık (1–5) × etki (1–5) çarpımıyla risk skoru hesaplayın.

3Adım

Güvenlik Anketi Gönderin

Anket, tedarikçinin kendi güvenlik duruşunu beyan ettiği belgedir. Standartlaşmış soru seti hem karşılaştırmayı hem hukuki tutarlılığı sağlar.

🔒 Erişim Kontrolü

MFA, ayrıcalıklı erişim, parola politikası

📊 Veri Yönetimi

Şifreleme, yedekleme, sınıflandırma

⚠ Olay Yönetimi

IR planı, test sıklığı, bildirim SLA

📍 Ağ Güvenliği

Segmentasyon, firewall, IDS/IPS

👥 İnsan Güvenliği

Farkındalık eğitimi, background check

📄 Uyumluluk

ISO 27001, KVKK, sertifika durumu

⚠ Kritik Nokta

Tedarikçiden ISO 27001 sertifikası veya KVKK VERBİS kaydı talep edin. Bu belgeler anket yanıtlarını en hızlı biçimde doğrulamanızı sağlar. Küçük tedarikçilerde sertifika yoksa bağımsız sızma testi raporu veya dolduğu üçüncü taraf denetim bulguları alternatif kanıt olarak kabul edilebilir.

4Adım

Yanıtları Değerlendirin ve Boşlukları Tespit Edin

Anket yanıtları alındıktan sonra her alanı önceden tanımladığınız kriterlerle karşılaştırın. Basit boşluk puanlama tablosu:

Kontrol Alanı	Beklenen	Tedarikçi Durumu	Boşluk (0–3)	Eylem
Çok faktörlü kimlik doğrulama	Tüm kritik sistemlerde	Yalnızca VPN’de	2	Koşullu kabul
Yama yönetimi	30 günde kritik yamalar	Tanımsız süreç	3	Yerinde denetim
Olay müdahale planı	Belgelenmiş + test edilmiş	Belgelenmiş, test edilmemiş	1	İyileştirme taahhüdü
Şifreleme (data at rest)	AES-256 veya eşdeğeri	Uygulanıyor, belgelenmemiş	1	Belgeleme talebi
Alt-tedarikçi yönetimi	Onaylı liste + sözleşme	Mevcut değil	3	Yerinde denetim

Toplam boşluk skoru 8 veya üzeri → yerinde teknik denetim zorunludur. 4–7 arası → koşullu kabul. 0–3 → anket kanıtı yeterli.

5Adım

Risk Kararı Verin: Karar Ağacı

Değerlendirme sonucunda her tedarikçi için belgelenmiş bir karar üretin:

🕐 Risk Karar Ağacı

Tedarikçi kritiklik düzeyi A mı?

→

EVET → Tam teknik denetim zorunlu

HAYIR → Anket + belge kontrolü yeterli

Boşluk skoru 8 veya üzeri mi?

→

EVET → Yerinde denetim talep et

HAYIR → Sonraki soruya geç

Tedarikçi iyileştirme taahhüdü veriyor mu?

→

EVET → Koşullu Kabul

HAYIR → Red / Alternatif Ara

Boşluk skoru 0–3, belge tamamsa?

→

EVET → Kabul

HAYIR → Azaltma (ek sözleşme maddesi)

📄 ISO 27001 Denetim Notu

Bu kararlar hem üst yönetime sunulacak risk raporu hem de denetimde kanıt olarak kullanılır. Her karar tarih, gerekçe ve sorumlu bilgisiyle birlikte risk kaydına işlenmelidir.

6Adım

Sürekli İzleme ve Periyodik Yeniden Değerlendirme

Tedarikçi riski statik değildir. Bir tedarikçi bugün güvenli olsa da yarın ihlale maruz kalabilir.

Tedarikçi Düzeyi	İzleme Sıklığı	Yeniden Değerlendirme	Araç
KRİTİK A	Sürekli (otomatik)	6 ayda bir + olay sonrası	SecurityScorecard / BitSight
YÜKSEK B	Aylık rapor	Yılda bir	Anket yenilemesi
ORTA C	Yıllık gözden geçirme	2 yılda bir	Kendi kendine değerlendirme

⚠ NIS2 ve DORA Uyumu

2025 itibarıyla yürürlükteki NIS2 direktifi ve DORA düzenlemesi, AB’ye hizmet veren Türk şirketlerinden tedarikçi izleme sürecini belgelenmiş biçimde yönetmelerini bekliyor. Sözleşmelerinizde 72 saatlik olay bildirim yükümlülüğü klozunun bulunması artık standart gereklilik haline geldi.

Türkiye Boyutu: KVKK ve Tedarikçi Riski

Türkiye’deki şirketler için tedarikçi siber riski salt teknik bir mesele değildir; doğrudan KVKK sorumluluğu taşır.

Durum	KVKK Yükümlülüğü	Riskin Sahibi
Tedarikçi kişisel veri işliyorsa	Sözleşmede güvenlik maddeleri zorunlu (Md. 12)	Veri Sorumlusu = Sizin şirketiniz
Tedarikçi kaynaklı veri ihlali	72 saat içinde KVKK Kurulu’na bildirim (Md. 12/5)	Veri Sorumlusu = Sizin şirketiniz
Yurt dışı tedarikçiye veri aktarımı	Yeterlilik kararı veya açık rıza (Md. 9)	Veri Sorumlusu + Tedarikçi
Tedarikçi VERBİS’te kayıtlı değilse	Veri işleyenden kayıt belgesi talebi önerilir	Risk değerlendirmeye dahil edilmeli

💡 Pratik Hatırlatıcı

Tedarikçi güvenlik anketinize “Kişisel veri ihlali yaşandığında 72 saat içinde bildirim yükümlülüğünü taahhüt ediyor musunuz?” sorusunu ekleyin. Bu maddenin sözleşmeye yansıtılması hem KVKK hem NIS2 uyumunu destekler.

Sık Sorulan Sorular

Kaç tedarikçiyi değerlendirmem gerekiyor? Tüm tedarikçi listenizi kritiklik düzeyine göre sınıflandırın; yalnızca A ve B kategorisindekiler için tam değerlendirme yapın. Orta ölçekli bir şirkette bu sayı genellikle 10–30 tedarikçiyle sınırlı kalır.

Değerlendirme ne sıklıkla yapılmalı? ISO 27001, risk değerlendirmenizi “planlı aralıklarla veya önemli değişiklikler gerçekleştiğinde” yenilemenizi zorunlu kılıyor. Kritik tedarikçiler için yılda en az bir kez ve yeni sistem entegrasyonu veya kapsam genişlemesi gibi değişikliklerde ek değerlendirme önerilir.

Tedarikçim anketi doldurmayı reddederse ne yapmalıyım? Bu durum başlı başına önemli bir bulgu olarak risk kaydına işlenmelidir. Kritik bir tedarikçi söz konusuysa sözleşmenin yenilenmesi veya alternatif aranması gündeme gelebilir. Yanıt vermeyen tedarikçiyi “uyumsuz” kategorisinde değerlendirin.

Küçük tedarikçilerden ISO 27001 sertifikası talep etmek gerçekçi mi? Sertifika zorunlu değil; eşdeğer güvence yeterlidir: bağımsız sızma testi raporu, doldurulmuş güvenlik anketi veya yerinde kısa denetim. Önemli olan belgelenmiş kanıt, yalnızca sertifika değil.

Bu süreç için hazır bir şablon var mı? Evet. Secure Fors olarak tedarikçi güvenlik anketi şablonu ve boşluk analizi matrisini ücretsiz paylaşıyoruz. Aşağıdaki iletişim formundan talep edebilirsiniz.

Sonuç

Tedarikçi siber risk değerlendirmesi, “bir kez yapılıp raflanacak” bir kontrol listesi değildir. Doğru kurgulandığında ISO 27001 denetimlerinizde kanıt, KVKK uyumunuzda güvence ve iş sürekliliğinizde kalkan işlevi görür.

6 adımlık bu çerçeveyi kendi kurumunuza uyarlamak, mevcut süreçlerinizi olgunlaştırmak veya bağımsız bir tedarikçi denetimi başlatmak istiyorsanız Secure Fors ekibiyle iletişime geçin.