Tedarikçi Değerlendirme Süreci: ISO 27001 Standartlarına Uyumlu Nasıl Kurulur?
- Ayşe Kızılay
- 6 gün önce
- 2 dakikada okunur
Dijital dönüşüm sürecinde şirketlerin bilgi güvenliği riskleri sadece kendi sistemleriyle sınırlı değil. Tedarikçiler, özellikle bulut hizmet sağlayıcıları, yazılım lisans sağlayıcıları, veri işleyen üçüncü taraflar, güvenlik zincirinin kritik bir parçası haline geldi.
ISO 27001:2022 standartında, A.5.19 - A.5.22 Tedarikçi İlişkileri maddeleri bu süreci zorunlu bir kontrol mekanizması haline getiriyor.
Bu yazıda, tedarikçi değerlendirme sürecini nasıl kurmanız gerektiğini ve nelere dikkat etmeniz gerektiğini adım adım ele alıyoruz.
1. Tedarikçi Değerlendirme Nedir?
Üçüncü tarafların güvenlik risklerini kontrol altına alma sürecidir.
SO 27001:2022 standartında, A.5.19 - A.5.22 Tedarikçi İlişkileri maddeleri ile uyumludur.
2. Neden Tedarikçi Değerlendirme Yapmalısınız?
Veri ihlallerinin %59'u üçüncü taraflardan kaynaklanıyor.
Yasal zorunluluklar (KVKK, GDPR, ISO 27001).
İtibar kaybı ve iş sürekliliği risklerini azaltmak.
3. Tedarikçi Değerlendirme Süreci Adımları
1. Tedarikçilerin Listelenmesi: Hizmet sağlayıcılar, altyapı sağlayıcıları, yazılım tedarikçileri vb.
2. Kritik Tedarikçilerin Belirlenmesi: Kurumsal veri işleyenler, operasyonel etkisi yüksek olanlar.
3. Değerlendirme Kriterleri Tanımlama: Güvenlik sertifikaları (ISO 27001, SOC 2), SLA şartları, veri koruma hükümleri.
4. Değerlendirme Araçları Kullanımı: Check listler, anket formları, denetim raporları.
5. Sözleşme Şartlarının Belirlenmesi: Gizlilik sözleşmeleri (NDA), veri işleme protokolleri, yasal yükümlülükler.
6. Sürekli İzleme ve Gözden Geçirme: Yıllık gözden geçirme, olay yönetim raporları.
4. Tedarikçi Değerlendirme Check-List Önerisi
Aşağıda paylaştığım başlıklar için her bir tedarikçi analiz edilip, puanlama yapılmalıdır. Bu puanlamaya göre şirketin bu tedarikçilerle çalışma yapıp yapmayacağı da belirlenmiş olur.
Toplam puanın 70 üzerinde olması tercih edilebilir. Şirketlere göre tolerans sınırları değişkenlik gösterir.
Başlık | Kontrol Noktası | Puan |
Hizmet sözleşmesi var mı? | Sözleşme şartlarına uyumlu mu? | 20 |
Gizlilik ve KVKK Protokolü var mı? | Gizlilik sözleşmesi zorunludur. KVKK protokolü çalışma kapsamına göre belirlenir. | 20 |
Güvenlik Sertifikası | ISO 27001 / SOC 2 / GDPR uyumlu mu? | 10 |
İletişim ve Ulaşılabilirlik | Ulaşılabilirlik düzeyi, alternatif iletişim kişisi var mı? | 20 |
SLA Uyum | SLA'lere uyum nasıl? | 20 |
5. Onaylı Tedarikçi Listesinin Hazırlanması
Tedarikçi değerlendirmeleri tamamlandıktan sonra, performans puanlaması 70 ve üzerinde olan ve gerekli güvenlik şartlarını sağlayan tedarikçiler “onaylı” statüsüne geçirilir. Onaylı Tedarikçi Listesi şu bilgileri içermelidir:
Listede Olması Gerekenler:
Firma: Tedarikçi firma adı
Hizmet Alanı: Aldığınız hizmet türü (Yazılım, Veri Merkezi, Güvenlik, vs.)
Perf. Puanı: Değerlendirme sonucunda elde edilen puan
Değerlendirme Sonucu: Onaylı / Şartlı Onaylı / Red
Kontak İsim: İletişimde olduğunuz kişi
Telefon: Kontak bilgisi
Sonuç
Güçlü bir bilgi güvenliği zinciri, sadece iç sistemlerin güvenliğinden değil, tedarikçilerin güvenliğinden de geçer.
ISO 27001’e uyum sağlamak, tedarikçileri “seçmek” değil, sistematik bir değerlendirme sürecine tabi tutmak demektir.
Unutmayın: Güvenlik zinciri, en zayıf halkası kadar güçlüdür.
Comments