• 0212 541 25 53
  • 0533 050 77 58
  • This email address is being protected from spambots. You need JavaScript enabled to view it.
  • Pzt Cuma 09:00 20:00

Sık Sorulan Sorular

ISO 27001 Belgesi Taşeron ve Alt Yüklenicileri Kapsar mı?

Bilgilendirme
Gösterim: 70

ISO 27001 Belgesi Taşeron ve Alt Yüklenicileri Kapsar mı?

 

ISO 27001 belgesiyle ilgili firmaların Google’da en sık sorduğu sorulardan biri şudur:
“ISO 27001 taşeronları ve alt yüklenicileri kapsar mı?”

2025 yılı itibarıyla birçok firma, hizmet üretiminin bir bölümünü taşeronlar veya alt yükleniciler aracılığıyla yürütmektedir. Bu durum, bilgi güvenliği açısından sorumluluğun kimde olduğu konusunu gündeme getirmektedir.

ISO 27001 Taşeronları Doğrudan Kapsar mı?

Hayır.
ISO 27001 belgesi, doğrudan taşeron firmaya verilmez. Belge, ana firmaya aittir. Ancak bu durum taşeronların sistemin tamamen dışında olduğu anlamına gelmez.

ISO 27001, taşeron ve alt yüklenicileri dolaylı olarak kapsar.

Taşeronlar ISO 27001 Kapsamına Nasıl Dahil Olur?

Taşeronlar, aşağıdaki durumlarda ISO 27001 kapsamında değerlendirilir:

  • Ana firmanın verilerine erişimleri varsa

  • Sistemlere uzaktan veya yerinde erişim sağlıyorlarsa

  • Müşteri verisi işliyorlarsa

  • Destek, bakım veya operasyonel hizmet veriyorlarsa

Bu durumda taşeronlar, tedarikçi ilişkileri başlığı altında ele alınır.

2025 Denetimlerinde Taşeronlarla İlgili Ne Soruluyor?

2025 denetimlerinde denetçilerin özellikle odaklandığı noktalar şunlardır:

  • Hangi taşeronların bilgiye erişimi olduğu

  • Bu erişimlerin nasıl kontrol edildiği

  • Taşeronlarla yapılan sözleşmelerde gizlilik maddeleri

  • Yetkilendirme ve erişim sınırları

  • Taşeron risklerinin değerlendirilip değerlendirilmediği

Yani denetim, taşeronun kendisinden çok ana firmanın kontrol mekanizmasını sorgular.

Taşeronun ISO 27001 Belgesi Olması Zorunlu mu?

Hayır, zorunlu değildir.
Ancak 2025 uygulamalarında şu eğilim giderek yaygınlaşmaktadır:

  • Kritik taşeronlardan ISO 27001 belgesi talep edilmesi

  • Belgesi yoksa ek güvenlik taahhütleri istenmesi

  • Yüksek riskli taşeronlarla çalışılmaması

Özellikle yazılım, çağrı merkezi, IT destek ve veri işleme alanlarında bu beklenti daha belirgindir.

Alt Yüklenicilerle Çalışan Firmalar Ne Risk Yaşıyor?

ISO 27001 belgesi olup taşeron yönetimi zayıf olan firmalarda şu riskler oluşur:

  • Denetimlerde uygunsuzluk riski

  • Müşteri denetimlerinde güven kaybı

  • Sözleşme süreçlerinin uzaması

  • Veri ihlali durumunda sorumluluk karmaşası

Bu nedenle taşeron yönetimi, ISO 27001’in kritik ama sık gözden kaçan alanlarından biridir.

2025’te En Sık Yapılan Hata

En sık yapılan hata şudur:
“Taşeron bizim firmamız değil, bizi ilgilendirmez.”

Oysa ISO 27001 bakış açısına göre, erişimi olan herkes bir risktir ve bu risk ana firma tarafından yönetilmelidir.

2025’te Genel Eğilim

2025 itibarıyla ISO 27001 belgesi olan firmalar:

  • Taşeronlarını daha net sınıflandırmakta

  • Kritik ve kritik olmayan taşeron ayrımı yapmakta

  • Bilgi güvenliği beklentilerini sözleşmelere yansıtmaktadır

Bu yaklaşım hem denetimleri kolaylaştırmakta hem de ticari güveni artırmaktadır.

ISO 27001 Süreciniz İçin Hızlı Ön Analiz Alın

Taşeron ve alt yüklenicilerinizin ISO 27001 kapsamında nasıl değerlendirilmesi gerektiğini öğrenmek isterseniz ücretsiz ön analiz desteği sunuyoruz.

Gerekli bilgiler:

  • Taşeron sayısı

  • Taşeronların erişim düzeyi

  • Faaliyet alanı

  • Çalışan sayısı

Sosyal Medya

© 2026 YYS Belgelendirme Eğitim Danışmanlık ve Test&Analiz Hizmetleri Tüm Hakları Saklıdır.