Üçüncü Taraf Risk Yönetimi (TPRM) Nedir?

Siber Güvenlik  ·  Risk Yönetimi  ·  Uyumluluk

Üçüncü Taraf Risk Yönetimi (TPRM) Nedir?

Tedarikçi risklerini anlayın, değerlendirin ve kontrol altına alın — ISO 27001, KVKK ve DDO BİGR perspektifiyle eksiksiz rehber

Secure Fors  ·  Mart 2026  ·  ≈ 12 dk okuma

📋 İçindekiler

  1. Üçüncü Taraf Risk Yönetimi (TPRM) Nedir?
  2. TPRM Neden Bu Kadar Kritik?
  3. Tedarikçi Risklerinin Türleri
  4. TPRM Yaşam Döngüsü: 7 Temel Aşama
  5. TPRM, VRM ve SCRM: Farklar Neler?
  6. TPRM Çerçeveleri ve Düzenleyici Gereklilikler
  7. Türkiye’de TPRM: ISO 27001, KVKK ve DDO BİGR
  8. TPRM Olgunluk Seviyeleri
  9. TPRM Araçları ve Teknoloji
  10. En İyi Pratikler ve Yaygın Hatalar
  11. Sonuç

1. Üçüncü Taraf Risk Yönetimi (TPRM) Nedir?

Üçüncü taraf risk yönetimi (TPRM), bir kuruluşun iş ortakları, tedarikçiler, alt yükleniciler, yazılım satıcıları ve danışmanlar gibi dış taraflarla kurduğu ilişkilerden doğan riskleri sistematik biçimde tanımlama, değerlendirme, izleme ve azaltma sürecidir. İngilizce’de “Third-Party Risk Management” olarak bilinen bu disiplin; tedarikçi risk yönetimi (Vendor Risk Management – VRM) ve tedarik zinciri risk yönetimi (Supply Chain Risk Management – SCRM) ile yakından ilişkilidir. Bir tedarikçi ya da iş ortağı, şirketinizin verilerine, sistemlerine veya süreçlerine herhangi bir ölçüde erişim sağlıyorsa, bu erişim beraberinde operasyonel, finansal, yasal ve itibar riskleri getirir. TPRM programı; bu risklerin tüm tedarikçi ilişkisi boyunca — ilk değerlendirmeden sözleşme sonlandırmasına kadar — görünür ve yönetilebilir kalmasını sağlar.
“Bir kuruluşun güvenlik zinciri, en zayıf halkası olan tedarikçisi kadar güçlüdür.”

🔑 Temel Tanımlar

  • Üçüncü Taraf: Kuruluşunuzun ürün veya hizmet aldığı, verilerinize ya da sistemlerinize erişen her harici varlık.
  • Dördüncü Taraf (Nth Party): Tedarikçinizin tedarikçisi; dolaylı ama gerçek bir risk kaynağı.
  • TPRM Yaşam Döngüsü: Tedarikçiyle ilişkinin başlangıcından sona ermesine kadar uzanan yönetim süreci.

2. TPRM Neden Bu Kadar Kritik?

Modern işletmeler büyük ölçüde dış kaynaklara bağımlıdır. Bulut altyapısından bordro yönetimine, hukuki danışmanlıktan yazılım geliştirmeye kadar pek çok kritik iş süreci artık üçüncü taraflarca yürütülmektedir. Bu bağımlılık operasyonel verimliliği artırırken, kontrol yüzeyini de genişletir. Araştırmalar, kuruluşların yaşadığı veri ihlallerinin önemli bir bölümünün doğrudan tedarikçi zayıflıklarından kaynaklandığını ortaya koymaktadır. SolarWinds, Target ve Kaseya ihlalleri, tedarik zinciri saldırılarının ne ölçüde yıkıcı olabileceğini küresel kamuoyuna göstermiştir.

🛡️

Siber Güvenlik Riski

Tedarikçi sistemlerindeki güvenlik açıkları, kötü amaçlı yazılımların doğrudan şirket ağınıza sızmasına zemin hazırlayabilir.

⚖️

Yasal ve Uyumluluk Riski

KVKK, ISO 27001 ve BDDK gibi düzenlemeler, tedarikçi uyumluluğunu kuruluşun sorumluluğu olarak tanımlar.

🔗

Operasyonel Risk

Kritik bir tedarikçinin hizmet kesintisi, iş sürekliliğini doğrudan tehdit edebilir.

💬

İtibar Riski

Tedarikçi kaynaklı bir skandal veya ihlal, müşteri güvenini ve marka değerini ciddi biçimde zedeler.

💰

Finansal Risk

Tedarikçi iflas veya fiyat artışları, operasyonel maliyetleri öngörülemeyen düzeylere taşıyabilir.

🌍

Coğrafi ve Jeopolitik Risk

Farklı ülkelerde yerleşik tedarikçiler, yerel düzenleyici baskılar ve jeopolitik gelişmelerden etkilenebilir.

3. Tedarikçi Risklerinin Türleri

TPRM kapsamında ele alınan riskler tek boyutlu değildir. Etkili bir program, aşağıdaki risk kategorilerini bütüncül biçimde yönetir:

Bilgi Güvenliği ve Siber Riskler

Tedarikçinin bilgi güvenliği olgunluk seviyesi, veri işleme pratikleri, erişim kontrolleri ve olay yönetimi kapasitesi doğrudan sizin risk profilinizi etkiler. Özellikle hassas kişisel verilere ya da kritik sistemlere erişimi olan tedarikçiler için bu boyut birincil öncelik taşır.

Gizlilik ve Kişisel Veri Riskleri

Veri işleyen tedarikçiler; KVKK (6698 sayılı Kanun), GDPR ve diğer gizlilik mevzuatları kapsamında kişisel verileri yasal gerekliliklerle işlemek zorundadır. Uyumsuz bir veri işleyen, şirketin idari para cezasına ve hukuki sorumluluğa maruz kalmasına yol açar.

Operasyonel ve İş Sürekliliği Riskleri

Tedarikçinin kendi iş sürekliliği planları, felaket kurtarma kapasitesi ve servis seviyesi taahhütleri (SLA), müşterinize verdiğiniz hizmet kalitesini doğrudan belirler.

Yasal ve Sözleşmesel Riskler

Sözleşme koşullarının yeterliliği, fikri mülkiyet sahipliği, fesih hükümleri ve yaptırım mekanizmaları, uzun vadeli ilişkinin hukuki sağlamlığını güvence altına alır.

Finansal ve Stratejik Riskler

Tedarikçinin finansal istikrarı, piyasadaki konumu ve uzun vadeli stratejik uyumu, ilişkinin sürdürülebilirliğini belirleyen unsurlardır.

4. TPRM Yaşam Döngüsü: 7 Temel Aşama

TPRM bir olay değil, sürekli dönen bir süreçtir. Sağlam bir program, tedarikçiyle ilişkinin her aşamasında aktif kontrolleri işler hâlde tutar.
1

Tedarikçi Tespiti ve Sınıflandırması

Kuruluşla iş yapan tüm üçüncü tarafların envanteri çıkarılır. Her tedarikçi; eriştiği veri hassasiyeti, operasyonel kritikliği ve harcama hacmi gibi kriterlere göre risk katmanlarına (kritik / yüksek / orta / düşük) ayrılır.

2

İlk Risk Değerlendirmesi (Due Diligence)

Tedarikçiye sözleşme imzalanmadan önce risk anketi gönderilir; güvenlik sertifikaları (ISO 27001, SOC 2), referanslar ve finansal durum incelenir. Kritik tedarikçiler için yerinde veya uzaktan denetim yapılabilir.

3

Sözleşme ve Risk Kontrollerinin Kararlaştırılması

Risk değerlendirmesi bulgularına göre sözleşmeye güvenlik gereklilikleri, SLA, denetim hakkı, veri ihlali bildirim yükümlülükleri ve fesih maddeleri eklenir.

4

Onboarding ve Erişim Yönetimi

Tedarikçi personeline en az ayrıcalık ilkesiyle erişim tanımlanır. Gizlilik anlaşmaları (NDA) imzalanır, farkındalık eğitimleri tamamlanır.

5

Sürekli İzleme

Tedarikçilerin risk profili statik değildir. Periyodik anketler, otomatik itibar/siber istihbarat izleme araçları ve SLA performans takibi ile risk durumu sürekli güncel tutulur.

6

Olay Yönetimi ve Eskalasyon

Tedarikçiden kaynaklanan veya tedarikçiyi etkileyen bir güvenlik olayında, önceden tanımlanmış prosedürler devreye girer: bildirim süreleri, iletişim zinciri ve kurtarma planları etkinleştirilir.

7

Offboarding ve İlişki Sona Erdirme

Sözleşme sona erdiğinde tüm erişimler iptal edilir, paylaşılan veriler geri alınır veya imha edilir, teknik hesaplar kapatılır ve son bir risk kapanış raporu hazırlanır.

5. TPRM, VRM ve SCRM: Farklar Neler?

Bu üç kavram zaman zaman birbirinin yerine kullanılsa da aralarında önemli nüanslar vardır:
Kavram Kapsam Odak Noktası Tipik Kullanım
TPRM Tüm harici taraflar Risk yönetimi süreci GRC, Denetim, Uyumluluk
VRM Tedarikçi / satıcı odaklı Satın alma ve sözleşme Satın alma, Hukuk
SCRM Tedarik zincirinin tamamı Operasyonel süreklilik Lojistik, İş Sürekliliği
Günümüzde olgun kuruluşlar bu üç perspektifi tek bir bütünleşik programa dahil ederek “Genişletilmiş Kurumsal Risk Yönetimi” anlayışına geçmektedir.

6. TPRM Çerçeveleri ve Düzenleyici Gereklilikler

TPRM boşlukta var olan bir uygulama değildir; çeşitli uluslararası standartlar ve düzenleyici gerekliliklerle doğrudan ilişkilidir.

🌐 Uluslararası Standartlar ve Çerçeveler

  • ISO 27001:2022 – Ek A 5.19–5.22: Tedarikçi güvenlik politikası, anlaşmalar ve süreçlerin açıkça tanımlanmasını zorunlu kılar.
  • NIST SP 800-161 (C-SCRM): ABD federal kurumları ve kritik altyapı için kapsamlı tedarik zinciri risk yönetimi çerçevesi.
  • DORA (AB Dijital Operasyonel Dayanıklılık Yasası): Finansal kuruluşlar için BT tedarikçilerinin sistematik risk yönetimini zorunlu kılar.
  • SOC 2 Type II: Hizmet sağlayıcıların güvenlik, kullanılabilirlik ve gizlilik kontrollerini bağımsız denetimle belgeleyen rapor.
  • COBIT 2019: Tedarikçi yönetimini kurumsal BT yönetişimi içinde konumlandıran çerçeve.

7. Türkiye’de TPRM: ISO 27001, KVKK ve DDO BİGR

Türk mevzuatı ve düzenleyici ortamı, TPRM’yi kurumsal zorunluluk hâline getiren birden fazla gereklilik içermektedir.

ISO 27001:2022 ve Tedarikçi Güvenliği

ISO 27001:2022’nin Ek A Kontrol 5.19 ila 5.22 arasındaki maddeler, bilgi güvenliğinin tedarikçi ilişkilerinde nasıl yönetileceğini açıkça tanımlar. Bu kontroller; tedarikçi seçim kriterleri, güvenlik şartlarını içeren sözleşme maddeleri, tedarikçi hizmetlerinin izlenmesi ve tedarik zinciri güvenliğini kapsar. Belgelenmiş bir tedarikçi yönetim prosedürü ve periyodik tedarikçi değerlendirmeleri, sertifikasyon denetimleri sırasında titizlikle incelenen alanlardır.

KVKK (6698 Sayılı Kişisel Verilerin Korunması Kanunu)

KVKK, veri sorumlusunun kişisel veri işleme faaliyetlerini dışarıdan yaptırması durumunda veri işleyen üçüncü tarafın yeterli güvenceleri sağlamasını şart koşar. Veri işleme sözleşmesinin (DPA) hazırlanması, yurt dışı veri aktarımlarında yeterli koruma mekanizmalarının kurulması ve veri ihlali bildirim yükümlülüklerinin tedarikçilere yansıtılması TPRM programının ayrılmaz bileşenleridir. Kişisel Verileri Koruma Kurulu’nun 2026 başında yayımladığı yapay zekâ rehberi, yapay zekâ çözümü sunan üçüncü tarafların da bu kapsamda ele alınmasını öngörmektedir.

DDO BİGR (Bilgi Güvenliği Rehberi)

Dijital Dönüşüm Ofisi’nin yayımladığı BİGR, kamu kurumları ve kritik altyapı sektöründe faaliyet gösteren işletmeler için tedarikçi denetim ve değerlendirme süreçlerini düzenler. Özellikle kritik altyapı hizmeti sunan ya da bu hizmetlerin tedarikçisi konumundaki firmalar için uyumsuzluk ciddi yaptırımlar doğurabilir.

BDDK Rehberleri

Bankacılık ve finans sektöründe faaliyet gösteren kuruluşlar için BDDK’nın bilgi sistemleri yönetimi ve hizmet dış kaynak kullanımı rehberleri, tedarikçi risk yönetimine özel gereklilikler içermektedir. Dış kaynak hizmetlerin yönetimi, yedek tedarikçi planlaması ve tedarikçi bağımlılığı riskinin azaltılması bu rehberlerin merkezinde yer alır.

8. TPRM Olgunluk Seviyeleri

Kuruluşunuzun TPRM’deki gelişim düzeyini anlamak, doğru yatırım kararları vermenizi sağlar:
Seviye Ad Temel Özellikler
1 Başlangıç Reaktif yaklaşım, yazılı süreç yok, tedarikçi envanteri eksik.
2 Tekrarlanabilir Temel anketler mevcut, bazı sözleşme maddeleri eklendi, ancak tutarsız uygulama.
3 Tanımlı Yazılı TPRM politikası, risk sınıflandırması, standart değerlendirme süreçleri var.
4 Yönetilen KPI’larla ölçülen program, sürekli izleme araçları aktif, 4. taraf riski görünür.
5 Optimize Tehdit istihbaratıyla beslenmiş proaktif program, otomasyon yüksek, iş kararlarıyla entegre.
Türkiye’deki kuruluşların büyük çoğunluğu 2 ile 3 arasında konumlanmaktadır. ISO 27001 sertifikasına sahip firmalar genellikle 3. seviyeye ulaşmış olmakla birlikte, 4. ve 5. seviyeye geçiş için araç ve süreç olgunluğuna ihtiyaç duyulmaktadır.

9. TPRM Araçları ve Teknoloji

Küçük ve orta ölçekli organizasyonlar TPRM’yi başlangıçta elektronik tablolar ve şablonlarla yönetebilir. Ancak tedarikçi sayısı ve riskin karmaşıklığı arttıkça, amaca özel araçlara ihtiyaç doğar.

Risk Değerlendirme Platformları

ServiceNow GRC, OneTrust, Prevalent ve Whistic gibi platformlar; tedarikçi anketlerini otomatize eder, risk puanlamalarını hesaplar ve denetim izlerini saklar. Bu araçlar sayesinde yüzlerce tedarikçiyi merkezi bir kontrol panosundan yönetmek mümkün hâle gelir.

Sürekli İzleme Çözümleri

BitSight, SecurityScorecard ve RiskRecon gibi araçlar, tedarikçilerin harici saldırı yüzeyini sürekli tarar ve güncel bir güvenlik skoru üretir. Bu skorlar, periyodik anketlere göre çok daha gerçek zamanlı bir risk görünümü sağlar.

Kontrakt Yönetimi ve Otomasyon

Sözleşmelerde güvenlik maddelerinin tutarlı biçimde yer alması ve sözleşme yenileme tarihlerinin takibi için kontrakt yaşam döngüsü yönetimi (CLM) araçları TPRM programını destekler.

10. En İyi Pratikler ve Yaygın Hatalar

✅ En İyi Pratikler

  • Risk odaklı yaklaşım: Her tedarikçiye aynı derinlikte değerlendirme yapmak yerine kritiklik seviyesine göre efor ayırın.
  • Tedarikçi envanteri oluşturun: Kaç tedarikçiniz olduğunu bilmeden risk yönetemezsiniz.
  • Sözleşmeye güvenlik maddeleri yerleştirin: Denetim hakkı, veri ihlali bildirimi, alt yüklenici kısıtlamaları ve fesih maddeleri zorunludur.
  • Sürekli izleme yapın: Tedarikçi değerlendirmesi yıllık yenilenen ve olay tetiklemeli güncelleme gerektiren bir faaliyettir.
  • Dördüncü tarafı göz ardı etmeyin: Tedarikçinizin tedarikçisi de risk zincirinin bir parçasıdır.
  • Üst yönetimi dahil edin: TPRM yönetim kuruluna raporlanan stratejik bir programdır.

❌ Yaygın Hatalar

  • Değerlendirmeyi yalnızca onboarding’e sıkıştırmak, ilişki boyunca izleme yapmamak.
  • Tüm tedarikçilere aynı anketi göndermek; düşük riskli tedarikçiler için aşırı bürokratik yük oluşturmak.
  • Sözleşmelerde muğlak güvenlik ifadeleri kullanmak; ölçülebilir maddeler yerine niyet beyanı koymak.
  • TPRM’yi yalnızca BT ekibine havale etmek; satın alma, hukuk ve üst yönetimi sürece dahil etmemek.
  • Tedarikçi offboarding’ine gereken özeni göstermemek; eski erişimleri aktif bırakmak.

11. Sonuç

Üçüncü taraf risk yönetimi (TPRM), dijital ekonomide faaliyet gösteren her kuruluş için artık bir tercih değil, zorunluluktur. Tedarik zinciri saldırılarının giderek sofistike hâle gelmesi, veri koruma mevzuatlarının sıkılaşması ve düzenleyici baskının artmasıyla birlikte güçlü bir TPRM programına sahip olmak aynı zamanda rekabetsel avantaj da sağlamaktadır. Türkiye’de ISO 27001 sertifikası, KVKK uyumu ve DDO BİGR gereklilikleri zaten kapsamlı bir TPRM altyapısını zorunlu kılmaktadır. Bu gereklilikleri birbiriyle bütünleşik bir program çerçevesinde ele almak, hem uyumluluk maliyetlerini düşürecek hem de gerçek risk görünürlüğü sağlayacaktır. Kendi TPRM programınızı olgunlaştırmaya nereden başlayacağınızı bilmiyorsanız, tedarikçi envanteri oluşturmak ve kritiklik sınıflandırması yapmak en pratik ilk adımdır.

TPRM Programınızı Değerlendirmek İster misiniz?

Secure Fors olarak ISO 27001 kapsamında tedarikçi risk değerlendirmesi, anket tasarımı ve KVKK uyumluluk denetimleri konusunda danışmanlık sunuyoruz.

Bizimle İletişime Geçin

Bu makale Secure Fors tarafından bilgilendirme amaçlı hazırlanmıştır. ISO 27001, KVKK veya DDO BİGR’e ilişkin güncel yasal düzenlemeler için ilgili otoritelerin resmi kaynaklarını incelemenizi öneririz. Son güncelleme: Mart 2026.

📚 TPRM Rehber Serisi — Bu Konuda Devam Edin

Profesyonel TPRM Danışmanlığı mı Arıyorsunuz?

Secure Fors olarak, ISO 27036 çerçevesinde üçüncü taraf risk yönetimi (TPRM) danışmanlığı sunuyoruz. Tedarikçi risklerinizi tespit etmek, değerlendirmek ve kontrol altına almak için uzman ekibimizle tanışın.

👉 TPRM – Tedarikçi Bilgi Güvenliği Hizmetlerimiz hakkında detaylı bilgi alın →

Ayrıca ISO 27001 BGYS Danışmanlığı hizmetimizle bilgi güvenliği yönetim sisteminizi kurmanıza yardımcı oluyoruz.

Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram