編號

IATF16949參考

變更后的主要要求

變化點的說明

變更理由

SI22

7.2.1 能力–補充

為了減少或消除對組織的風險，培訓和意識還應包括與組織工作相關的預防信息，

環境和員工的責任，例如識別可能的設備故障和/或試圖進行過的網絡攻擊的癥狀。(SI 21 2021年7月)

在員工能力要求，增加需要對員工培訓和意識的要求。主要增加了：預防管理的要求、環境管理、員工責任方面。例如，識別可能存在的設備故障，可能存在的網絡被攻擊

員工知識是防止問題變得重要的關鍵因素，包括確定

潛在的設備故障和網絡攻擊。

SI21

6.1.2.1 風險分析

組織應在風險分析中至少包含:

a)從產品召回、產品審核、使用現場的退貨和修理、投訴、報廢及返工中吸取的經驗教訓。

b)對信息技術系統的網絡攻擊威脅。(SI 20 2021年7月)

、本條款增加了對信息系統的網絡攻擊威脅

潛在的網絡攻擊對所有認證組織構成了風險。在他們的信息技術系統中。組織需要考慮潛在的網絡攻擊造成的風險。

SI3

6.1.2.3 應急計劃

6.1.2.3 應急計劃

組織應：

c) 準備應急計劃，以在下列任一情況下保證供應的持續性，包括但不限于（SI3 2021年7月更新）：關鍵設備故障（另見第8.5.6.1.1條）；外部提供的產品、過程和服務中斷；常見自然災害；火災；大型病染病（SI3 2021年7月更新）公共事業中斷；對信息技術系統的網絡攻擊(SI3 2017年10月)；勞動力短缺；或者基礎設施破壞;

e) 定期測試應急計劃的有效性（如：模擬，視情況而定）；

對于網絡安全（SI3 2021年7月更新）,網絡安全測試可能包括網絡攻擊的模擬，對特定威脅的定期監視，試別相關性以及漏洞優先級。該測試適合于相關的顧客中斷風險；

注：網絡安全測試可以組織內部管理或適當分包(SI17 2019年10月)

h) 在應急計劃中包括制定和實施適當的員工培訓和意識（SI3 2021年7月更新）

1、應急計劃應包括：公共衛生事件，流行病、對信息技術系統的網絡攻擊

2、對于網絡安全（SI3 2021年7月更新）,網絡安全測試可能包括網絡攻擊的模擬，對特定威脅的定期監視，試別相關性以及漏洞優先級。該測試適合于相關的顧客中斷風險；

注：網絡安全測試可以組織內部管理或適當分包(SI17 2019年10月)

3、在應急計劃中包括制定和實施適當的員工培訓和意識（SI3 2021年7月更新）

1、組織需要解決網絡攻擊的可能性，網絡攻擊可能會使組織組織生產運作、物流失效。

2、需要確保做好了網絡攻擊的準備。

3、網絡安全是所有制造設施的制造可持續性要求；這個風險不斷增加，包括汽車行業。應急測試也被組織和CBs確定為一個領域

3、認識到員工知識是有效應急計劃的關鍵步驟。

SI10

7.1.5.3.2 外部實驗室

— 如果使用未經認可的實驗室（例如，但不限于：專業或集成設備、規范沒有國際可追溯標準參考，或原始設備制造商），組織有責任確保有證據表明該實驗室已經過評估，并滿足IATF 16949第7.1.5.3.1條的要求。（SI10 2021年7月）

注：測量設備的集成自校準，包括使用專有軟件，不符合校準要求（SI10 2021年4月）。

增加了：如果使用未經認可的實驗室，組織必須有證據證明該實驗室已經通過了評估

一些組織發現實驗室認證要求

用于檢驗、測試或校準的外部/商業/獨立實驗室設施

服務混亂，需要澄清。明確實驗室認證要求和

期望