-
體系咨詢
- ISO27001 信息安全管理
- ISO20000 信息技術(shù)服務(wù)管理
- ISO22301 業(yè)務(wù)連續(xù)性管理
- ISO27017 云服務(wù)信息安全
- ISO27018 公有云隱私安全
- ISO27701 隱私信息管理
- ISO9001 質(zhì)量管理
- ISO14001 環(huán)境管理
- ISO45001 職業(yè)健康安全管理
- ISO22000 食品安全管理
- ISO13485 醫(yī)療器械質(zhì)量管理
- ISO50001 能源管理
- ISO29151 個人身份信息保護
- IATF16949 汽車行業(yè)質(zhì)量管理
- AS9100 航空質(zhì)量管理
- GB/T31950 誠信管理體系
- GB/T23794 企業(yè)信用評價
- QC080000 有害物資過程管理
- HACCP 危害分析與關(guān)鍵點控制
- SA8000 社會責任管理
- SB/T10962 商品經(jīng)營企業(yè)服務(wù)質(zhì)量
- SB/T11045 住宿,食品飲料服務(wù)
- GB/T27922 商品售后服務(wù)評價
- GB/T20647 不動產(chǎn)(物業(yè))服務(wù)
- GB/T29490 知識產(chǎn)權(quán)管理
- FSC 森林認證
- IS026262 汽車功能安全
- 資質(zhì)認證咨詢
- 產(chǎn)品認證咨詢
- 管理培訓(xùn)
IATF16949:2016的更新條款(更新 SI21和SI22 于 2021年7月發(fā)布;)
IATF(International Automotive Task Force)國際汽車工作組會定期發(fā)布SI和FAQ;其中所謂的SI(SIs),就是16949的標準的更新,相當于對標準本身進行更新或者變更,SI就是我們執(zhí)行IATF16949本身標準的要求;而FAQ,就是對所謂問題的解釋說明,對標準本身沒說清楚或者可能產(chǎn)生歧義的地方進行進一步的解釋說明,有利于大家以一致的方式去理解標準。
對應(yīng)這次的變更,最簡單的做法如下:
1、在應(yīng)急計劃中加入公共衛(wèi)生事件,例如大型流行病。
2、在應(yīng)急計劃中加入網(wǎng)絡(luò)被攻擊,設(shè)備被攻擊等;例如:勒索病毒
3、網(wǎng)絡(luò)被攻擊管理中,需要加入:3-1、日常的監(jiān)控方式 3-2、如何識別被攻擊 3-3、被攻擊后處理方式 3-4、 如何識別以及管理組織存在的漏洞 3-5、如何防止交付給顧客被影響。這些管理方式可以外包給外部組織也可以是組織內(nèi)部自己完成。
4、對員工進行應(yīng)急計劃方面知識的培訓(xùn),培訓(xùn)包括:應(yīng)急知識、如何預(yù)防應(yīng)急事件發(fā)生(例如識別潛在的設(shè)備故障、網(wǎng)絡(luò)可能被攻擊等)、應(yīng)急的意識要求
5、在員工能力方面增加應(yīng)急方面的要求,包括:應(yīng)急知識和意識,包括預(yù)防能力的提升
6、過程風險分析中,加入對信息安全方面的風險分析,包括風險等級以及采取的管控措施
7、在外部實驗室管理中,如果外部實驗室沒有獲取17025等實驗室認可證書,必須有一個證明,就是如何證明外部實驗室是有效的。
這次更新的兩個條款SI21和SI22和修訂的兩個條款SI3和SI10具體如下:
|
編號 |
IATF16949參考 |
變更后的主要要求 |
變化點的說明 |
變更理由 |
|
SI22 |
7.2.1 能力–補充
|
為了減少或消除對組織的風險,培訓(xùn)和意識還應(yīng)包括與組織工作相關(guān)的預(yù)防信息, 環(huán)境和員工的責任,例如識別可能的設(shè)備故障和/或試圖進行過的網(wǎng)絡(luò)攻擊的癥狀。(SI 21 2021年7月) |
在員工能力要求,增加需要對員工培訓(xùn)和意識的要求。主要增加了:預(yù)防管理的要求、環(huán)境管理、員工責任方面。例如,識別可能存在的設(shè)備故障,可能存在的網(wǎng)絡(luò)被攻擊 |
員工知識是防止問題變得重要的關(guān)鍵因素,包括確定
潛在的設(shè)備故障和網(wǎng)絡(luò)攻擊。 |
|
SI21 |
6.1.2.1 風險分析
|
組織應(yīng)在風險分析中至少包含: a)從產(chǎn)品召回、產(chǎn)品審核、使用現(xiàn)場的退貨和修理、投訴、報廢及返工中吸取的經(jīng)驗教訓(xùn)。 b)對信息技術(shù)系統(tǒng)的網(wǎng)絡(luò)攻擊威脅。(SI 20 2021年7月) |
、本條款增加了對信息系統(tǒng)的網(wǎng)絡(luò)攻擊威脅 |
潛在的網(wǎng)絡(luò)攻擊對所有認證組織構(gòu)成了風險。在他們的信息技術(shù)系統(tǒng)中。組織需要考慮潛在的網(wǎng)絡(luò)攻擊造成的風險。 |
|
SI3 |
6.1.2.3 應(yīng)急計劃
|
6.1.2.3 應(yīng)急計劃 組織應(yīng): c) 準備應(yīng)急計劃,以在下列任一情況下保證供應(yīng)的持續(xù)性,包括但不限于(SI3 2021年7月更新):關(guān)鍵設(shè)備故障(另見第8.5.6.1.1條);外部提供的產(chǎn)品、過程和服務(wù)中斷;常見自然災(zāi)害;火災(zāi);大型病染病(SI3 2021年7月更新)公共事業(yè)中斷;對信息技術(shù)系統(tǒng)的網(wǎng)絡(luò)攻擊(SI3 2017年10月);勞動力短缺;或者基礎(chǔ)設(shè)施破壞; e) 定期測試應(yīng)急計劃的有效性(如:模擬,視情況而定); 對于網(wǎng)絡(luò)安全(SI3 2021年7月更新),網(wǎng)絡(luò)安全測試可能包括網(wǎng)絡(luò)攻擊的模擬,對特定威脅的定期監(jiān)視,試別相關(guān)性以及漏洞優(yōu)先級。該測試適合于相關(guān)的顧客中斷風險; 注:網(wǎng)絡(luò)安全測試可以組織內(nèi)部管理或適當分包(SI17 2019年10月) h) 在應(yīng)急計劃中包括制定和實施適當?shù)膯T工培訓(xùn)和意識(SI3 2021年7月更新) |
1、應(yīng)急計劃應(yīng)包括:公共衛(wèi)生事件,流行病、對信息技術(shù)系統(tǒng)的網(wǎng)絡(luò)攻擊 2、對于網(wǎng)絡(luò)安全(SI3 2021年7月更新),網(wǎng)絡(luò)安全測試可能包括網(wǎng)絡(luò)攻擊的模擬,對特定威脅的定期監(jiān)視,試別相關(guān)性以及漏洞優(yōu)先級。該測試適合于相關(guān)的顧客中斷風險; 注:網(wǎng)絡(luò)安全測試可以組織內(nèi)部管理或適當分包(SI17 2019年10月) 3、在應(yīng)急計劃中包括制定和實施適當?shù)膯T工培訓(xùn)和意識(SI3 2021年7月更新) |
1、組織需要解決網(wǎng)絡(luò)攻擊的可能性,網(wǎng)絡(luò)攻擊可能會使組織組織生產(chǎn)運作、物流失效。 2、需要確保做好了網(wǎng)絡(luò)攻擊的準備。 3、網(wǎng)絡(luò)安全是所有制造設(shè)施的制造可持續(xù)性要求;這個風險不斷增加,包括汽車行業(yè)。應(yīng)急測試也被組織和CBs確定為一個領(lǐng)域 3、認識到員工知識是有效應(yīng)急計劃的關(guān)鍵步驟。 |
|
SI10 |
7.1.5.3.2 外部實驗室
|
— 如果使用未經(jīng)認可的實驗室(例如,但不限于:專業(yè)或集成設(shè)備、規(guī)范沒有國際可追溯標準參考,或原始設(shè)備制造商),組織有責任確保有證據(jù)表明該實驗室已經(jīng)過評估,并滿足IATF 16949第7.1.5.3.1條的要求。(SI10 2021年7月) 注:測量設(shè)備的集成自校準,包括使用專有軟件,不符合校準要求(SI10 2021年4月)。
|
增加了:如果使用未經(jīng)認可的實驗室,組織必須有證據(jù)證明該實驗室已經(jīng)通過了評估 |
一些組織發(fā)現(xiàn)實驗室認證要求
用于檢驗、測試或校準的外部/商業(yè)/獨立實驗室設(shè)施
服務(wù)混亂,需要澄清。明確實驗室認證要求和
期望
|