ISO 27001’de Tedarikçi Risk Yönetimi Nasıl Yapılır? (2025 Dış Kaynak Uyum Rehberi)
Kuruluşlar artık birçok bilgi teknolojisi hizmetini, güvenlik süreçlerini ve operasyonlarını dış kaynaklardan (tedarikçilerden) temin ediyor.
Bu kolaylık aynı zamanda yeni riskleri de beraberinde getiriyor.
ISO/IEC 27001:2022, bilgi güvenliği risk yönetimi kapsamında dış hizmet sağlayıcıları da denetim altına alır.
Özellikle tedarikçi ilişkileri, siber güvenlik açıklarının ve bilgi sızıntılarının ana kaynağı olabilir.
Bu nedenle, tedarikçilerle kurulan ilişkilerde bilgi güvenliği gerekliliklerinin net tanımlanması kritik öneme sahiptir.
Tedarikçi Risk Yönetimi Nedir?
Tedarikçi risk yönetimi, bir kuruluşun bilgi varlıklarına erişimi olan veya bu varlıkları etkileyen tedarikçilerin neden olabileceği güvenlik risklerini:
✓ Tanımlama
✓ Değerlendirme
✓ İzleme
✓ Azaltma
süreçlerini kapsar.
ISO 27001’de İlgili Maddeler
| Madde | Açıklama |
|---|---|
| A.5.19 | Tedarikçi ilişkilerinin yönetimi |
| A.5.20 | Tedarikçi hizmet sunumu izleme |
| A.5.21 | Tedarikçi sözleşmelerinde güvenlik şartları |
| A.5.22 | Tedarikçi kaynaklı olaylara müdahale |
| A.5.23 | Tedarikçi hizmetlerinin sürekliliği |
Uygulama Adımları: Tedarikçi Risk Yönetimi Nasıl Yapılır?
1. Tedarikçi Envanterini Oluşturun
-
Hangi tedarikçilerle çalışılıyor?
-
Hangi hizmetler alınıyor?
-
Hangi bilgilere erişimleri var?
Örn: Bulut sunucu sağlayıcısı, ağ bakımı firması, güvenlik kamerası sistemi yüklenicisi
2. Risk Seviyesini Değerlendirin
| Risk Düzeyi | Kriter |
|---|---|
| Yüksek | Kritik verilere doğrudan erişim (BT firmaları) |
| Orta | Kısıtlı erişim, sınırlı etkili sistemler |
| Düşük | Hiçbir erişimi olmayan, dolaylı tedarikçiler |
Risk değerlendirme kriterleri yazılı hale getirilmelidir.
3. Sözleşmelerde Güvenlik Şartlarını Tanımlayın
Tüm tedarikçilerle yapılan sözleşmelere şu şartlar eklenmelidir:
-
Gizlilik taahhütnamesi
-
Bilgi güvenliği ihlali bildirim zorunluluğu
-
ISO 27001 veya eşdeğer güvenlik sertifikası zorunluluğu
-
Denetime açık olma şartı
-
Hizmet kesintisinde süreklilik yükümlülüğü
4. İzleme ve Değerlendirme Süreci Kurun
-
Hizmetin güvenliğine ilişkin performans takip kriterleri belirleyin
-
Tedarikçi performans değerlendirme formları oluşturun
-
Yıllık veya altı aylık değerlendirme toplantıları yapın
-
Tedarikçi uygunsuzlukları için düzeltici faaliyet başlatın
5. Olay Müdahale ve İyileştirme Protokolleri Oluşturun
Bir tedarikçiden kaynaklı olay yaşandığında:
-
İlk kimin bilgilendirileceği
-
Olayın sınıflandırılması
-
Kök neden analizi
-
Gerekirse hizmetin askıya alınması
aşamaları tanımlanmalıdır.
ISO 27001’e Uygun Dokümantasyon Örnekleri
-
Tedarikçi Envanteri ve Kategori Listesi
-
Tedarikçi Güvenlik Sözleşmesi Şablonu
-
Tedarikçi Performans İzleme Formu
-
Risk Derecelendirme Matrisleri
-
Denetim Check-listi (Tedarikçi Bazlı)
Denetimlerde Sık Sorulan Sorular
| Soru | Beklenen Kanıt |
|---|---|
| Tedarikçilerinizin listesi var mı? | Envanter tablosu |
| Risklerine göre sınıflandırdınız mı? | Değerlendirme formu |
| Sözleşmelerde bilgi güvenliği maddeleri yer alıyor mu? | İmzalı sözleşmeler |
| Denetim hakkınız var mı? | Sözleşme maddeleri |
| Tedarikçi kaynaklı olay yaşandı mı? | Olay kayıtları, iyileştirme planı |
YYS Danışmanlık Olarak Ne Sağlıyoruz?
YYS olarak ISO 27001 kapsamında:
-
Tedarikçi risk envanteri hazırlanması
-
Risk bazlı değerlendirme metodolojisi
-
Sözleşme şablonlarının ISO uyumlu hale getirilmesi
-
Performans izleme sistemlerinin kurulması
-
Dış kaynaklı bilgi güvenliği olaylarının yönetimi
konularında uçtan uca danışmanlık sunuyoruz.
Sonuç:
Dış kaynaklar, sadece maliyet avantajı değil, aynı zamanda potansiyel bir güvenlik açığıdır.
ISO 27001 ile bu riski kontrol altına almak mümkündür.