-
體系咨詢
- ISO27001 信息安全管理
- ISO20000 信息技術(shù)服務(wù)管理
- ISO22301 業(yè)務(wù)連續(xù)性管理
- ISO27017 云服務(wù)信息安全
- ISO27018 公有云隱私安全
- ISO27701 隱私信息管理
- ISO9001 質(zhì)量管理
- ISO14001 環(huán)境管理
- ISO45001 職業(yè)健康安全管理
- ISO22000 食品安全管理
- ISO13485 醫(yī)療器械質(zhì)量管理
- ISO50001 能源管理
- ISO29151 個(gè)人身份信息保護(hù)
- IATF16949 汽車行業(yè)質(zhì)量管理
- AS9100 航空質(zhì)量管理
- GB/T31950 誠(chéng)信管理體系
- GB/T23794 企業(yè)信用評(píng)價(jià)
- QC080000 有害物資過(guò)程管理
- HACCP 危害分析與關(guān)鍵點(diǎn)控制
- SA8000 社會(huì)責(zé)任管理
- SB/T10962 商品經(jīng)營(yíng)企業(yè)服務(wù)質(zhì)量
- SB/T11045 住宿,食品飲料服務(wù)
- GB/T27922 商品售后服務(wù)評(píng)價(jià)
- GB/T20647 不動(dòng)產(chǎn)(物業(yè))服務(wù)
- GB/T29490 知識(shí)產(chǎn)權(quán)管理
- FSC 森林認(rèn)證
- IS026262 汽車功能安全
- 資質(zhì)認(rèn)證咨詢
- 產(chǎn)品認(rèn)證咨詢
- 管理培訓(xùn)
IATF16949:2016的更新條款(更新 SI21和SI22 于 2021年7月發(fā)布;)
IATF(International Automotive Task Force)國(guó)際汽車工作組會(huì)定期發(fā)布SI和FAQ;其中所謂的SI(SIs),就是16949的標(biāo)準(zhǔn)的更新,相當(dāng)于對(duì)標(biāo)準(zhǔn)本身進(jìn)行更新或者變更,SI就是我們執(zhí)行IATF16949本身標(biāo)準(zhǔn)的要求;而FAQ,就是對(duì)所謂問(wèn)題的解釋說(shuō)明,對(duì)標(biāo)準(zhǔn)本身沒(méi)說(shuō)清楚或者可能產(chǎn)生歧義的地方進(jìn)行進(jìn)一步的解釋說(shuō)明,有利于大家以一致的方式去理解標(biāo)準(zhǔn)。
對(duì)應(yīng)這次的變更,最簡(jiǎn)單的做法如下:
1、在應(yīng)急計(jì)劃中加入公共衛(wèi)生事件,例如大型流行病。
2、在應(yīng)急計(jì)劃中加入網(wǎng)絡(luò)被攻擊,設(shè)備被攻擊等;例如:勒索病毒
3、網(wǎng)絡(luò)被攻擊管理中,需要加入:3-1、日常的監(jiān)控方式 3-2、如何識(shí)別被攻擊 3-3、被攻擊后處理方式 3-4、 如何識(shí)別以及管理組織存在的漏洞 3-5、如何防止交付給顧客被影響。這些管理方式可以外包給外部組織也可以是組織內(nèi)部自己完成。
4、對(duì)員工進(jìn)行應(yīng)急計(jì)劃方面知識(shí)的培訓(xùn),培訓(xùn)包括:應(yīng)急知識(shí)、如何預(yù)防應(yīng)急事件發(fā)生(例如識(shí)別潛在的設(shè)備故障、網(wǎng)絡(luò)可能被攻擊等)、應(yīng)急的意識(shí)要求
5、在員工能力方面增加應(yīng)急方面的要求,包括:應(yīng)急知識(shí)和意識(shí),包括預(yù)防能力的提升
6、過(guò)程風(fēng)險(xiǎn)分析中,加入對(duì)信息安全方面的風(fēng)險(xiǎn)分析,包括風(fēng)險(xiǎn)等級(jí)以及采取的管控措施
7、在外部實(shí)驗(yàn)室管理中,如果外部實(shí)驗(yàn)室沒(méi)有獲取17025等實(shí)驗(yàn)室認(rèn)可證書,必須有一個(gè)證明,就是如何證明外部實(shí)驗(yàn)室是有效的。
這次更新的兩個(gè)條款SI21和SI22和修訂的兩個(gè)條款SI3和SI10具體如下:
|
編號(hào) |
IATF16949參考 |
變更后的主要要求 |
變化點(diǎn)的說(shuō)明 |
變更理由 |
|
SI22 |
7.2.1 能力–補(bǔ)充
|
為了減少或消除對(duì)組織的風(fēng)險(xiǎn),培訓(xùn)和意識(shí)還應(yīng)包括與組織工作相關(guān)的預(yù)防信息, 環(huán)境和員工的責(zé)任,例如識(shí)別可能的設(shè)備故障和/或試圖進(jìn)行過(guò)的網(wǎng)絡(luò)攻擊的癥狀。(SI 21 2021年7月) |
在員工能力要求,增加需要對(duì)員工培訓(xùn)和意識(shí)的要求。主要增加了:預(yù)防管理的要求、環(huán)境管理、員工責(zé)任方面。例如,識(shí)別可能存在的設(shè)備故障,可能存在的網(wǎng)絡(luò)被攻擊 |
員工知識(shí)是防止問(wèn)題變得重要的關(guān)鍵因素,包括確定
潛在的設(shè)備故障和網(wǎng)絡(luò)攻擊。 |
|
SI21 |
6.1.2.1 風(fēng)險(xiǎn)分析
|
組織應(yīng)在風(fēng)險(xiǎn)分析中至少包含: a)從產(chǎn)品召回、產(chǎn)品審核、使用現(xiàn)場(chǎng)的退貨和修理、投訴、報(bào)廢及返工中吸取的經(jīng)驗(yàn)教訓(xùn)。 b)對(duì)信息技術(shù)系統(tǒng)的網(wǎng)絡(luò)攻擊威脅。(SI 20 2021年7月) |
、本條款增加了對(duì)信息系統(tǒng)的網(wǎng)絡(luò)攻擊威脅 |
潛在的網(wǎng)絡(luò)攻擊對(duì)所有認(rèn)證組織構(gòu)成了風(fēng)險(xiǎn)。在他們的信息技術(shù)系統(tǒng)中。組織需要考慮潛在的網(wǎng)絡(luò)攻擊造成的風(fēng)險(xiǎn)。 |
|
SI3 |
6.1.2.3 應(yīng)急計(jì)劃
|
6.1.2.3 應(yīng)急計(jì)劃 組織應(yīng): c) 準(zhǔn)備應(yīng)急計(jì)劃,以在下列任一情況下保證供應(yīng)的持續(xù)性,包括但不限于(SI3 2021年7月更新):關(guān)鍵設(shè)備故障(另見(jiàn)第8.5.6.1.1條);外部提供的產(chǎn)品、過(guò)程和服務(wù)中斷;常見(jiàn)自然災(zāi)害;火災(zāi);大型病染病(SI3 2021年7月更新)公共事業(yè)中斷;對(duì)信息技術(shù)系統(tǒng)的網(wǎng)絡(luò)攻擊(SI3 2017年10月);勞動(dòng)力短缺;或者基礎(chǔ)設(shè)施破壞; e) 定期測(cè)試應(yīng)急計(jì)劃的有效性(如:模擬,視情況而定); 對(duì)于網(wǎng)絡(luò)安全(SI3 2021年7月更新),網(wǎng)絡(luò)安全測(cè)試可能包括網(wǎng)絡(luò)攻擊的模擬,對(duì)特定威脅的定期監(jiān)視,試別相關(guān)性以及漏洞優(yōu)先級(jí)。該測(cè)試適合于相關(guān)的顧客中斷風(fēng)險(xiǎn); 注:網(wǎng)絡(luò)安全測(cè)試可以組織內(nèi)部管理或適當(dāng)分包(SI17 2019年10月) h) 在應(yīng)急計(jì)劃中包括制定和實(shí)施適當(dāng)?shù)膯T工培訓(xùn)和意識(shí)(SI3 2021年7月更新) |
1、應(yīng)急計(jì)劃應(yīng)包括:公共衛(wèi)生事件,流行病、對(duì)信息技術(shù)系統(tǒng)的網(wǎng)絡(luò)攻擊 2、對(duì)于網(wǎng)絡(luò)安全(SI3 2021年7月更新),網(wǎng)絡(luò)安全測(cè)試可能包括網(wǎng)絡(luò)攻擊的模擬,對(duì)特定威脅的定期監(jiān)視,試別相關(guān)性以及漏洞優(yōu)先級(jí)。該測(cè)試適合于相關(guān)的顧客中斷風(fēng)險(xiǎn); 注:網(wǎng)絡(luò)安全測(cè)試可以組織內(nèi)部管理或適當(dāng)分包(SI17 2019年10月) 3、在應(yīng)急計(jì)劃中包括制定和實(shí)施適當(dāng)?shù)膯T工培訓(xùn)和意識(shí)(SI3 2021年7月更新) |
1、組織需要解決網(wǎng)絡(luò)攻擊的可能性,網(wǎng)絡(luò)攻擊可能會(huì)使組織組織生產(chǎn)運(yùn)作、物流失效。 2、需要確保做好了網(wǎng)絡(luò)攻擊的準(zhǔn)備。 3、網(wǎng)絡(luò)安全是所有制造設(shè)施的制造可持續(xù)性要求;這個(gè)風(fēng)險(xiǎn)不斷增加,包括汽車行業(yè)。應(yīng)急測(cè)試也被組織和CBs確定為一個(gè)領(lǐng)域 3、認(rèn)識(shí)到員工知識(shí)是有效應(yīng)急計(jì)劃的關(guān)鍵步驟。 |
|
SI10 |
7.1.5.3.2 外部實(shí)驗(yàn)室
|
— 如果使用未經(jīng)認(rèn)可的實(shí)驗(yàn)室(例如,但不限于:專業(yè)或集成設(shè)備、規(guī)范沒(méi)有國(guó)際可追溯標(biāo)準(zhǔn)參考,或原始設(shè)備制造商),組織有責(zé)任確保有證據(jù)表明該實(shí)驗(yàn)室已經(jīng)過(guò)評(píng)估,并滿足IATF 16949第7.1.5.3.1條的要求。(SI10 2021年7月) 注:測(cè)量設(shè)備的集成自校準(zhǔn),包括使用專有軟件,不符合校準(zhǔn)要求(SI10 2021年4月)。
|
增加了:如果使用未經(jīng)認(rèn)可的實(shí)驗(yàn)室,組織必須有證據(jù)證明該實(shí)驗(yàn)室已經(jīng)通過(guò)了評(píng)估 |
一些組織發(fā)現(xiàn)實(shí)驗(yàn)室認(rèn)證要求
用于檢驗(yàn)、測(cè)試或校準(zhǔn)的外部/商業(yè)/獨(dú)立實(shí)驗(yàn)室設(shè)施
服務(wù)混亂,需要澄清。明確實(shí)驗(yàn)室認(rèn)證要求和
期望
|