Bu Yazıda
- TPRM Nedir ve Neden Önemlidir?
- Türkiye’de Üçüncü Taraf Tehdidi: Güncel Veriler
- TPRM Programının 5 Temel Bileşeni
- Tedarikçi Risk Değerlendirme Süreci (Adım Adım)
- ISO 27001 ve KVKK’nın TPRM’e Etkisi
- Sektöre Özel TPRM Gereksinimleri
- TPRM Olgunluk Seviyeleri
- Sık Sorulan Sorular
1. TPRM Nedir ve Neden Önemlidir?
Üçüncü taraf siber risk yönetimi (TPRM), bir kuruluşun tedarikçileri, iş ortakları, yazılım sağlayıcıları ve dış hizmet firmalarından kaynaklanan siber güvenlik risklerini sistematik biçimde tanımlama, değerlendirme, izleme ve azaltma sürecidir.
Modern iş ortamında hiçbir şirket tek başına çalışmaz. Bulut altyapısından muhasebe yazılımına, lojistik ortaklarından danışmanlık firmalarına kadar onlarca üçüncü tarafla veri paylaşılır, sistemler entegre edilir. Her biri potansiyel bir güvenlik açığı kapısıdır.
Temel Tanım
“TPRM, ‘Bir zincir en zayıf halkası kadar güçlüdür’ ilkesinin siber güvenlikteki uygulamasıdır. Kendi sisteminizi ne kadar iyi korusanız da, tedarikçinizin zafiyeti sizin ihlalınız olabilir.”
Küresel ve Türkiye Verisi — 2025
1/3
Son 1 yılda tedarik zinciri saldırısına maruz kalan kurum oranı
%60+
Büyük veri ihlallerinin üçüncü taraf güvenlik açığından kaynaklandığı oran
240B$
2026 küresel siber güvenlik harcama tahmini (Gartner)
Kaynak: Kaspersky Global Araştırması 2025, Gartner 2026 Tahmini
2. Türkiye’de Üçüncü Taraf Tehdidi: Güncel Tablo
Türkiye’deki kurumların üçüncü taraf riskine yaklaşımı henüz olgunlaşma sürecindedir. Kaspersky’nin 2025 araştırması, Türk işletmelerinin ciddi yapısal boşluklarını gözler önüne sermektedir:
Türkiye’deki Kritik Boşluklar
Yüksek Oran
Yüklenici sözleşmelerinde net BT güvenliği yükümlülüğü bulunmayan Türk işletme oranı
Uzman Açığı
Nitelikli BT güvenlik uzmanı eksikliği, tedarik zinciri riskini izleme kapasitesini kısıtlıyor
Reaktif Yaklaşım
Kurumlar tedarikçi tehditlerini çoğunlukla olay gerçekleştikten sonra fark ediyor
Artan Talep
2025 Siber Güvenlik Kanunu ve KVKK baskısıyla TPRM farkındalığı hızla yükseliyor
3. TPRM Programının 5 Temel Bileşeni
Etkili bir TPRM programı tek seferlik bir değerlendirmeden ibaret değildir. Aşağıdaki beş bileşen sürekli çalışan, entegre bir yapı oluşturur:
01
Tedarikçi Envanteri ve Sınıflandırma
Tüm tedarikçilerin sistematik olarak listelenmesi, kritiklik düzeylerinin (yüksek / orta / düşük) belirlenmesi. Hangi tedarikçi hangi sisteme erişiyor, hangi veriyi işliyor?
02
Risk Değerlendirmesi (Due Diligence)
Güvenlik anketi (VSQ), belge incelemesi, teknik kontroller ve saha denetimi ile her tedarikçinin güvenlik olgunluğunun ölçülmesi. ISO 27001 sertifikası, penetrasyon testi raporları, KVKK uyumu gibi kanıtlar talep edilir.
03
Sözleşme Güvencesi
Tedarikçi sözleşmelerine minimum güvenlik gereksinimlerinin, olay bildirim yükümlülüklerinin ve denetim haklarının eklenmesi. KVKK kapsamında veri işleme sözleşmeleri (VİS) zorunludur.
04
Sürekli İzleme
Tedarikçilerin güvenlik durumunun periyodik olarak yeniden değerlendirilmesi. Siber tehdit istihbaratı araçlarıyla tedarikçilerin dijital ayak izinin izlenmesi. Kritik tedarikçiler için yıllık, diğerleri için iki yılda bir denetim.
05
Olay Müdahale ve İş Sürekliliği Entegrasyonu
Tedarikçi kaynaklı bir güvenlik olayında nasıl yanıt verileceğinin önceden planlanması. Kritik tedarikçiler için yedek tedarikçi stratejisi ve iş sürekliliği planına entegrasyon.
4. Tedarikçi Risk Değerlendirme Süreci — Adım Adım
Sahadan edindiğimiz deneyime göre etkin bir tedarikçi güvenlik değerlendirmesi dört aşamada yürütülür:
Kapsam ve Sınıflandırma
- Tüm tedarikçilerin listelenmesi
- Kritiklik skoru belirleme (veri erişimi, sistem entegrasyonu, iş etkisi)
- Denetim öncelik sırası oluşturma
Güvenlik Anketi (VSQ)
- Politikalar ve prosedürler
- Teknik kontroller (erişim yönetimi, şifreleme, yedekleme)
- Sertifikalar ve uyum belgelerinin doğrulanması
- Kendi tedarikçi zincirinin (4. taraf) değerlendirilmesi
Saha Denetimi ve Doğrulama
- Yerinde denetim veya uzaktan görüşme
- Kanıt toplanması ve belge incelemesi
- Bulgular ve uyumsuzlukların raporlanması
- Risk skoru güncelleme
Düzeltici Faaliyet ve İzleme
- Uyumsuzluklar için düzeltici aksiyon planı
- Takip denetimi (follow-up audit)
- Periyodik yeniden değerlendirme takvimi
- Sonuçların tedarikçi yönetim planına entegrasyonu
5. ISO 27001 ve KVKK’nın TPRM’e Etkisi
Türkiye’de faaliyet gösteren kurumlar için TPRM, soyut bir iyi uygulama değil — yasal ve standart zorunluluğudur.
| Çerçeve | İlgili Madde / Kontrol | Tedarikçi Güvenliği Gereksinimi |
|---|---|---|
| ISO 27001:2022 | Madde 8.4 Ek A 5.19 – 5.22 |
Tedarikçi ilişkilerinin politikayla yönetilmesi, güvenlik gereksinimlerinin sözleşmelere yansıtılması, tedarikçi hizmetlerinin izlenmesi ve gözden geçirilmesi zorunludur. |
| KVKK | Madde 12 Veri güvenliğine ilişkin yükümlülükler |
Kişisel veri işleyen tedarikçilerle Veri İşleme Sözleşmesi (VİS) zorunludur. Veri sorumlusu, veri işleyen konumundaki tedarikçinin güvenliğini sağlamakla yükümlüdür. |
| Siber Güvenlik Kanunu 2025 | Kritik Altyapı Tedarik Zinciri Güvenliği |
Kritik altyapı işleten kurumların tedarik zinciri güvenliğini sağlaması ve denetlemesi zorunlu kılınmaktadır. Mart 2025’te yürürlüğe girmiştir. |
| BDDK / BİGR | Dış Hizmet Alımı Risk Yönetimi Yönetmeliği |
Bankacılık ve finans sektöründe dış hizmet sağlayıcıların güvenlik yükümlülükleri kapsamlı biçimde düzenlenmiştir. Yıllık denetim zorunluluğu getirilmiştir. |
6. Sektöre Özel TPRM Gereksinimleri
Her sektörün kendine özgü üçüncü taraf riski ve yasal gereksinimleri vardır:
7. TPRM Olgunluk Seviyeleri: Şirketiniz Nerede?
TPRM bir ikilik (var/yok) değil, olgunluk yolculuğudur. Kurumunuzun hangi seviyede olduğunu aşağıdaki modelle değerlendirin:
SEVİYE 1
Reaktif
Tedarikçi listesi yok. Değerlendirme ancak olay yaşandığında yapılıyor. Sözleşmelerde güvenlik maddesi bulunmuyor. Yasal uyum riski yüksek.
SEVİYE 2
Farkında
Tedarikçi envanteri mevcut. Kritik tedarikçiler için temel güvenlik anketi yapılıyor. Sözleşmelere bazı güvenlik maddeleri eklenmiş ancak izleme sistematik değil.
SEVİYE 3
Tanımlı
Resmi TPRM politikası var. Tüm kritik tedarikçiler değerlendiriliyor. Periyodik yeniden değerlendirme takvimi oluşturulmuş. ISO 27001 ve KVKK uyumu izleniyor.
SEVİYE 4
Yönetilen
Risk skorları KPI’lara bağlı. Saha denetimleri yapılıyor. 4. taraf (tedarikçinin tedarikçisi) riski değerlendiriliyor. Düzeltici faaliyet takibi sistematik.
SEVİYE 5
Optimize
Sürekli izleme araçları entegre. Tehdit istihbaratıyla desteklenen proaktif risk tespiti. TPRM, tedarikçi seçim sürecinin ayrılmaz parçası. Otomatik uyarı ve raporlama sistemi çalışıyor.
8. Sık Sorulan Sorular
TPRM ve tedarikçi denetimi aynı şey midir?
Hayır. Tedarikçi denetimi, TPRM’in bir bileşenidir. TPRM; envanter yönetimi, risk puanlaması, sözleşme güvencesi, sürekli izleme ve iş sürekliliği entegrasyonunu kapsayan daha geniş bir süreç çerçevesidir. Denetim bu sürecin doğrulama adımıdır.
Kaç tedarikçiyi değerlendirmeliyim?
Tüm tedarikçiler listelenmelidir ancak kritiklik düzeyine göre değerlendirme kapsamı farklılaşır. Verilerinize veya sistemlerinize erişen tüm tedarikçiler öncelikli; kişisel veri işleyenler ise KVKK kapsamında zorunlu değerlendirme gerektirmektedir.
ISO 27001 sertifikası olan bir tedarikçiyi yine de değerlendirmeli miyim?
Evet. ISO 27001 sertifikası, kapsamın iyi tanımlandığını ve temel kontrollerin uygulandığını gösterir; ancak sertifikanın kapsamı sınırlı olabilir ya da sertifika bölümü sizinle çalışan bölümü kapsamıyor olabilir. Sertifika incelemesi, denetimin yerini tutmaz; tamamlayıcı bir kanıttır.
TPRM programı kurmak ne kadar sürer?
Temel bir TPRM çerçevesi (politika, envanter, risk derecelendirme metodolojisi, temel anket) 4-8 haftada kurulabilir. Kapsamlı bir programın olgunlaşması 6-12 ay alır. Önce kritik tedarikçilere odaklanmak, hızlı risk azaltımı sağlar.
KVKK’da tedarikçi yükümlülüğünü yerine getirmemek ne gibi sonuçlar doğurur?
Veri sorumlusu, veri işleyenin kusuru nedeniyle oluşan ihlallerden de sorumlu tutulabilir. KVKK Madde 12 kapsamında idari para cezaları, sicil kaydı ve kurul kararlarıyla karşılaşılabilir. Veri İşleme Sözleşmesi (VİS) yoksa ek uyumsuzluk riski doğar.
Secure Fors ile
Tedarikçi Güvenliğinizi Sistematik Hale Getirin
Tedarikçi envanteri oluşturmaktan saha denetimine, KVKK uyumundan ISO 27001 hazırlığına kadar tüm TPRM sürecinizi birlikte yönetelim. Türkiye’nin kritik sektörlerinde sahadan gelen deneyimle.
