-
体系咨询
- ISO27001 信息安全管理
- ISO20000 信息技术服务管理
- ISO22301 业务连续性管理
- ISO27017 云服务信息安全
- ISO27018 公有云隐私安全
- ISO27701 隐私信息管理
- ISO9001 质量管理
- ISO14001 环境管理
- ISO45001 职业健康安全管理
- ISO22000 食品安全管理
- ISO13485 医疗器械质量管理
- ISO50001 能源管理
- ISO29151 个人身份信息保护
- IATF16949 汽车行业质量管理
- AS9100 航空质量管理
- GB/T31950 诚信管理体系
- GB/T23794 企业信用评价
- QC080000 有害物资过程管理
- HACCP 危害分析与关键点控制
- SA8000 社会责任管理
- SB/T10962 商品经营企业服务质量
- SB/T11045 住宿,食品饮料服务
- GB/T27922 商品售后服务评价
- GB/T20647 不动产(物业)服务
- GB/T29490 知识产权管理
- FSC 森林认证
- IS026262 汽车功能安全
- 资质认证咨询
- 产品认证咨询
- 管理培训
IATF16949:2016的更新条款(更新 SI21和SI22 于 2021年7月发布;)
IATF(International Automotive Task Force)国际汽车工作组会定期发布SI和FAQ;其中所谓的SI(SIs),就是16949的标准的更新,相当于对标准本身进行更新或者变更,SI就是我们执行IATF16949本身标准的要求;而FAQ,就是对所谓问题的解释说明,对标准本身没说清楚或者可能产生歧义的地方进行进一步的解释说明,有利于大家以一致的方式去理解标准。
对应这次的变更,最简单的做法如下:
1、在应急计划中加入公共卫生事件,例如大型流行病。
2、在应急计划中加入网络被攻击,设备被攻击等;例如:勒索病毒
3、网络被攻击管理中,需要加入:3-1、日常的监控方式 3-2、如何识别被攻击 3-3、被攻击后处理方式 3-4、 如何识别以及管理组织存在的漏洞 3-5、如何防止交付给顾客被影响。这些管理方式可以外包给外部组织也可以是组织内部自己完成。
4、对员工进行应急计划方面知识的培训,培训包括:应急知识、如何预防应急事件发生(例如识别潜在的设备故障、网络可能被攻击等)、应急的意识要求
5、在员工能力方面增加应急方面的要求,包括:应急知识和意识,包括预防能力的提升
6、过程风险分析中,加入对信息安全方面的风险分析,包括风险等级以及采取的管控措施
7、在外部实验室管理中,如果外部实验室没有获取17025等实验室认可证书,必须有一个证明,就是如何证明外部实验室是有效的。
这次更新的两个条款SI21和SI22和修订的两个条款SI3和SI10具体如下:
|
编号 |
IATF16949参考 |
变更后的主要要求 |
变化点的说明 |
变更理由 |
|
SI22 |
7.2.1 能力–补充
|
为了减少或消除对组织的风险,培训和意识还应包括与组织工作相关的预防信息, 环境和员工的责任,例如识别可能的设备故障和/或试图进行过的网络攻击的症状。(SI 21 2021年7月) |
在员工能力要求,增加需要对员工培训和意识的要求。主要增加了:预防管理的要求、环境管理、员工责任方面。例如,识别可能存在的设备故障,可能存在的网络被攻击 |
员工知识是防止问题变得重要的关键因素,包括确定
潜在的设备故障和网络攻击。 |
|
SI21 |
6.1.2.1 风险分析
|
组织应在风险分析中至少包含: a)从产品召回、产品审核、使用现场的退货和修理、投诉、报废及返工中吸取的经验教训。 b)对信息技术系统的网络攻击威胁。(SI 20 2021年7月) |
、本条款增加了对信息系统的网络攻击威胁 |
潜在的网络攻击对所有认证组织构成了风险。在他们的信息技术系统中。组织需要考虑潜在的网络攻击造成的风险。 |
|
SI3 |
6.1.2.3 应急计划
|
6.1.2.3 应急计划 组织应: c) 准备应急计划,以在下列任一情况下保证供应的持续性,包括但不限于(SI3 2021年7月更新):关键设备故障(另见第8.5.6.1.1条);外部提供的产品、过程和服务中断;常见自然灾害;火灾;大型病染病(SI3 2021年7月更新)公共事业中断;对信息技术系统的网络攻击(SI3 2017年10月);劳动力短缺;或者基础设施破坏; e) 定期测试应急计划的有效性(如:模拟,视情况而定); 对于网络安全(SI3 2021年7月更新),网络安全测试可能包括网络攻击的模拟,对特定威胁的定期监视,试别相关性以及漏洞优先级。该测试适合于相关的顾客中断风险; 注:网络安全测试可以组织内部管理或适当分包(SI17 2019年10月) h) 在应急计划中包括制定和实施适当的员工培训和意识(SI3 2021年7月更新) |
1、应急计划应包括:公共卫生事件,流行病、对信息技术系统的网络攻击 2、对于网络安全(SI3 2021年7月更新),网络安全测试可能包括网络攻击的模拟,对特定威胁的定期监视,试别相关性以及漏洞优先级。该测试适合于相关的顾客中断风险; 注:网络安全测试可以组织内部管理或适当分包(SI17 2019年10月) 3、在应急计划中包括制定和实施适当的员工培训和意识(SI3 2021年7月更新) |
1、组织需要解决网络攻击的可能性,网络攻击可能会使组织组织生产运作、物流失效。 2、需要确保做好了网络攻击的准备。 3、网络安全是所有制造设施的制造可持续性要求;这个风险不断增加,包括汽车行业。应急测试也被组织和CBs确定为一个领域 3、认识到员工知识是有效应急计划的关键步骤。 |
|
SI10 |
7.1.5.3.2 外部实验室
|
— 如果使用未经认可的实验室(例如,但不限于:专业或集成设备、规范没有国际可追溯标准参考,或原始设备制造商),组织有责任确保有证据表明该实验室已经过评估,并满足IATF 16949第7.1.5.3.1条的要求。(SI10 2021年7月) 注:测量设备的集成自校准,包括使用专有软件,不符合校准要求(SI10 2021年4月)。
|
增加了:如果使用未经认可的实验室,组织必须有证据证明该实验室已经通过了评估 |
一些组织发现实验室认证要求
用于检验、测试或校准的外部/商业/独立实验室设施
服务混乱,需要澄清。明确实验室认证要求和
期望
|