關於IATF 16949:2016
IATF 16949:2016(第一版)是一份具有創新性的文件,其特色在於強調以客戶為導向,並納入了許多已經整合的客戶特定要求。ISO/TS 16949(第一版)最初於1999年由國際汽車工作小組(IATF)創建,旨在統一全球汽車供應鏈中的不同評估和認證系統。隨後根據汽車行業的需求提升或ISO 9001的修訂,分別於2002年推出第二版,並於2009年推出第三版。ISO/TS 16949(以及由原始設備製造商 [簡稱 OEM] 和其相關國家汽車工業協會開發的支持性技術出版物)引入了一套通用的技術和方法,供全球汽車製造業在產品和流程開發中使用。
為了從ISO/TS 16949:2009(第三版)遷移到此汽車質量管理體系標準(IATF 16949),IATF徵求了認證機構、稽核員、供應商以及OEM的意見,從而創建了IATF 16949:2016(第一版),該版本取代了ISO/TS 16949:2009(第三版)。
IATF與ISO保持密切合作,通過持續的聯絡委員會地位,確保與ISO 9001的一致性得以延續。
IATF 16949:2016 常見問題Frequently Asked Questions (FAQs)
IATF 16949:2016 第一版於 2016 年 10 月發佈。針對 IATF 認可的認證機構和利益相關者的提問,以下問題和回答經 IATF 審查。除非另有說明,常見問題 (FAQ) 自發佈時起適用。FAQ 是對 IATF 16949:2016 中現有要求的解釋。
• FAQ 1-11 於 2017 年 10 月發佈。
• FAQ 12-20 於 2018 年 4 月發佈。
• FAQ 21-22 於 2018 年 6 月發佈。
• 修訂的 FAQ 18 於 2018 年 10 月發佈。
• FAQ 10 和 FAQ 18 於 2018 年 11 月刪除。
• FAQ 23-26 於 2019 年 3 月發佈。
• FAQ 27-29 於 2019 年 8 月發佈。
• FAQ 7 修訂並於 2021 年 4 月重新發佈。
• FAQ 29 修訂並於 2022 年 5 月重新發佈。
| NUMBER | IATF 16949 REFERENCE | QUESTIONS AND ANSWERS |
| 1 | 前言 – 汽車業品質管理系統 (QMS) 標準 | 問題: 為什麼會有兩本手冊(IATF 16949:2016 和 ISO 9001:2015)?兩本手冊而不是一本,讓閱讀和理解要求變得更困難。 回答: IATF 和 ISO 未能就整合文件中發佈 IATF 16949 的授權協議達成一致。為了不進一步延遲新 IATF 16949 標準的推出,IATF 決定以兩本手冊的格式發佈。 在發佈之前,IATF 已與國際認證機構確認,其他行業部門也使用兩本手冊的模式來定義其行業特定要求,而使用兩本手冊模式進行審核,雖然不是最理想的,但仍然有效。 IATF 與 ISO 保持密切合作,透過繼續擔任聯絡委員會的角色,確保與 ISO 9001 的要求保持一致。 |
| 2 | 前言 – 汽車業品質管理系統 (QMS) 標準 | 問題: 為什麼兩本手冊(IATF 16949:2016 和 ISO 9001:2015)的價格比 ISO/TS 16949 版本高出這麼多? 回答: 由於 ISO 和 IATF 未能達成關於 IATF 16949 整合格式的共同授權協議,IATF 無法為 ISO 9001:2015 標準協商折扣。IATF 保持了汽車業特定內容的價格與之前的定價一致。價格的差異主要來自 ISO 對其出版的 ISO 9001 手冊的完整定價。 |
| 3 | 前言 – 汽車業品質管理系統 (QMS) 標準 | 問題: 如果在 IATF 16949 標準中發現翻譯錯誤,應該怎麼辦? 回答: IATF 有一套明確的流程來管理標準的翻譯,包括「交叉檢查」以確保準確性。如果某個組織或認證機構發現可能的翻譯錯誤,應聯繫 IATF 的成員行業協會或支持其認證機構的監督辦公室。 |
| 4 | 4.4.1.2 產品安全 | 問題: 這條款的範圍是什麼?許多組織專注於產品的法規/法定要求,並認為他們的製造產品或過程與產品安全無關。 回答: 此條款的重點是影響最終組裝安全性能的產品和製造過程特性。這些特性可能未在法規/法定要求中直接提及,但可能由客戶定義。 |
| 5 | 5.3.1 組織角色、責任與權限 — 補充條款 | 問題: 責任是應分配給職能(例如,品質部門)、特定職位(例如,品質總監)還是具名個人(例如,Bob Smith)? 回答: 責任應分配給組織內的角色/職位(即特定職位,例如品質總監)。雖然個人可能在其角色中承擔這些責任,但責任始終歸屬於該角色(例如,品質總監)。因此,高層管理人員將責任和權限分配給角色,而不是具名個人。 |
| 6 | 7.1.5.1.1 量測系統分析 (Measurement System Analysis, MSA) | 問題: 是否需要為每個儀器或設備進行 MSA 研究? 回答: 不需要。並不要求對每一台設備進行完整的統計研究。具有相同特性(例如測量範圍、解析度、重複性等)的儀器可以分組,並使用具有代表性的樣本儀器(即量具家族中的代表)進行統計研究。 |
| 7 | 7.1.5.3.2 外部實驗室 | 問題 1: 何時可以使用設備製造商來校準檢驗和測試設備?如果有一家認證實驗室存在,但距離非常遙遠且/或成本昂貴,而檢驗或測試設備的製造商就在附近且可用,是否可以使用他們(即使他們未獲得 ISO/IEC 17025 認證)? 回答 1: 請參閱 2021 年 4 月發佈並於 2021 年 6 月生效的修訂 SI 10。 問題 2: 如果組織在最終組裝和測試區域有檢驗、量測和測試設備,這是否被視為內部實驗室? 回答 2: 否。在製造過程或組裝過程的任何部分中使用的在線量測和測試設備不被視為內部實驗室。 |
| 8 | 7.5.1.1 品質管理系統文件化 | 問題: 文件(可以是表格、清單或矩陣)是否必須包含非 IATF OEM 和 Tier 1?是否需要在文件中包含所有超出 CSR 的客戶要求? 回答: 根據 IATF 16949 第 4.3.2 條,組織有責任評估客戶要求,包括客戶特定要求,並將其納入組織品質管理系統的範圍內。根據 IATF 16949 第 7.5.1.1 d) 條,文件(可以是表格、清單或矩陣)是品質手冊的一部分,該文件應包括所有與認證組織有直接關係的客戶,這可能包括 IATF OEM、非 IATF OEM 和其他汽車行業客戶(如 Tier 1、Tier 2 等)。 例如,Tier 2 組織必須考慮其所有客戶的要求,包括客戶特定要求。如果汽車 OEM 並非 Tier 2 組織的直接客戶,則無需考慮該 OEM 的要求。 需要注意的是,非 IATF OEM 客戶和其他汽車行業客戶可能會在內部文件(例如供應商品質手冊)或公開文件(例如互聯網上可用的特定文件)中列出其客戶要求。如果非 IATF OEM 或其他汽車行業客戶的要求文件未明確與 IATF 16949 條款掛鉤,識別客戶特定要求可能會變得困難。一種方法是檢查 IATF 16949 標準中出現「若由客戶要求(if required by the customer)」的部分,並核實現有的客戶要求文件是否列出了與 IATF 16949 要求相關的特定要求。如果是,則應將該客戶及其要求添加到品質手冊中的文件(可以是表格、清單或矩陣)中。 需要強調的是,組織不需要將客戶的要求(包括客戶特定要求)轉換為與 IATF 16949 條款對應的 CSR 格式,這與 IATF OEM 公佈的方式類似。 |
| 9 | 8.4.2.2 法規和法定要求 8.6.5 法規和法定合規性 | 問題 1: 關於法規和法定合規性的觀點是什麼?根據 8.6.5,什麼被認為是符合適用法規和法定要求的充分證據? 回答 1: 根據 8.3.3.1 g) 和 8.3.4.2 的定義,組織必須採取一種方法來研究、識別、獲取副本、審查、理解並確保其製造產品符合所在國家和產品運送目的地國家的法規和法定要求。 第 8.4.2.2 條的目的是要求組織在其產品開發方法/業務流程及供應商管理方法/業務流程中設計一種或多種方法,以獲得並確認其供應商提供的產品和服務符合供應商所在國、組織使用產品的國家以及(如客戶要求)組織運送產品的國家的法規和法定要求的證據。 第 8.6.5 條的目的是要求組織檢查從供應商處收到的符合性/合規記錄,以確保產品的批次代碼、批號或類似的可追溯性信息已包含在供應商提供的證據中。此檢查可以在收到供應商的產品時進行,也可以在庫存期間進行,但必須在產品釋放到組織生產流程之前完成。 問題 2: 第 8.4.2.2 條的意圖從 ISO/TS 16949 到 IATF 16949 是否有改變? 回答 2: 該條款的意圖並未改變。在 ISO/TS 16949 中的要求是「所有採購產品應符合適用的法規和法定要求」。由於這種「被動語態」的表述,IATF 認為其期望並不清晰。新的要求更明確地說明了應該做什麼、何時做以及需要什麼證據來支持合規性。 問題 3: 如何管理和維持對國際供應商的法規和法定要求的最新了解? 回答 3: 根據 IATF 16949 第 8.6.5 條,組織不需要了解或保留所有其採購的外部提供的流程、產品或服務的國際法規和法定要求清單。 組織需要審查結果、進行審核或以其他方式定期驗證,確保供應商的流程是穩健的,並符合產品製造地及客戶指定運送目的地國家的最新適用法規、法定及其他要求。 問題 4: 如果客戶未將法規和法定要求傳達給組織,組織的系統如何理解這些要求? 回答 4: 按照條款中的表述,預期客戶會向組織提供產品運送目的地的相關信息。若因目的地變更導致適用法規和法定要求的變化,只有在客戶「提供」這些變更信息的情況下,組織才需要承擔相關要求。 |
| 10 | 8.4.2.3.1 汽車產品相關軟體或內嵌軟體的汽車產品 | 請參閱 SI 15,於 2018 年 11 月發佈,2019 年 1 月生效。 |
| 11 | 8.7.1.7 不合格產品的處置 | 問題 1: 「在處置前使其不可用」的意圖和要求是什麼?產品的「使其不可用」應該在何時何地進行? 回答 1: 其意圖是確保產品無法進入非正式的售後市場、安裝到道路車輛上,或意外運送給客戶。 使不合格產品不可用的過程不必在製造區域內進行,但必須在最終處置前完成。 問題 2: 組織如何控制這一點? 回答 2: 組織有責任制定並實施不合格產品處置流程,並驗證其有效性。 問題 3: 組織是否可以使用服務提供商來使產品不可用? 回答 3: 可以,將產品使其不可用的過程委託給服務提供商是可接受的。如果使用服務提供商,組織需要批准並定期驗證供應商如何使產品不可用。 問題 4: 不合格產品的處置是否僅適用於最終產品,還是也適用於元件/中間子裝配件? 回答 4: 該要求適用於已通過零件批准過程並由組織運送給客戶的產品。 問題 5: 在使其不可用的過程中,需要對不合格產品進行多大的破壞? 回答 5: 不合格產品需要被處理到無法使用和無法修復的程度。並不要求將產品壓碎或粉碎成許多碎片。 |
| 12 | 貫穿IATF 16949 標準全文 | 問題: 將多個流程記錄在一個「文件化流程」中是否可行?還是每個流程都必須是單獨的文件化流程? 回答: 可以。組織可以將多個文件化流程歸組到一個(或多個)文件化流程中。每個文件化流程不必是獨立的流程。組織應根據自身的業務和組織需求,以合適的方式記錄其流程。 |
| 13 | 4.4.1.2 產品安全 | 問題: 關於與產品安全(4.4.1.2)相關的培訓等級和特定標準的要求是什麼? 回答: 與所有人員能力要求一樣,分配到特定任務的人員需要具備執行該任務的能力。這種能力需要包括與任務相關的規則和法規。 4.4.1.2 中的安全要求對所需內容有非常具體的說明。以下是來自 IATF 16949 第 4.4.1.2 條的說明: a) 供應商應了解與零件使用市場相關的所有法規和法定要求,這些要求由客戶識別。供應商需要知道如何研究所有受影響國家或地區的相關法規。 b) 客戶特定要求將識別任何客戶通知需求,因此需掌握客戶特定要求的知識(這可以由內部指定的主題專家教授)。 c) 設計 FMEA 的特殊批准將在客戶特定要求中識別,見上文 b) 條目。 d) 和 e) 與產品安全相關的特性及其控制將由客戶在其定義的特殊特性和所需控制中確定。開發 PFMEA 和控制計劃的人員需要熟悉其客戶文檔中的這些領域。 f) 到 m) 的每個條目也可以類似地分析,以確定每項安全要求所需的培訓等級和培訓來源。 由於許多要求依賴於客戶特定要求,因此針對該主題不存在統一的完整行業培訓。組織需要審查與其每個零件在預定使用國家中的相關法規和安全相關特性相對應的客戶和法規要求。一些客戶可能對產品安全、培訓、知識和人員有特定要求。組織有責任了解其客戶與產品安全相關的特定要求。 |
| 14 | 7.1.5.3.2 外部實驗室 | 問題: 外部實驗室的校準證書或(測試)報告是否必須帶有相關國家認證機構的標誌(或徽標、符號),以表明實驗室獲得 ISO/IEC 17025 認證? 回答: 是的,只有包括國家認證機構標誌的校準證書或測試報告才被接受。 國家認證機構的認證標誌(通常也稱為「認證徽標」或「認證符號」)提供文件證據,表明所提供的檢驗、測試或校準服務已根據認證範圍執行,並符合 ISO/IEC 17025 的要求,同時接受國家認證機構的監督。 |
| 15 | 8.3.2.3 內嵌軟體產品的開發 | 問題: 如何評估供應商的軟體開發能力? 回答: IATF 16949 第 8.3.2.3 條的意圖是對軟體的開發採取與硬體零件開發相同的嚴謹性。軟體與零件一樣,具有定義的性能、操作條件、已知的輸入、規定的輸出、環境參數(如檔案大小)、法規要求(若有)、已知的故障模式、使用概況及操作條件的變異性等。 軟體開發的計劃、設計、編寫、測試、確認和生產驗證階段在概念上與硬體零件的開發並無太大不同。IATF 16949 提供了一個穩健的框架,以驗證已採取所有必要步驟來設計、驗證並生產符合規範的大批量生產硬體零件。 儘管概念類似,但這些步驟對於軟體開發來說並不相同。因此,使用不同的標準來評估軟體開發方法。這些標準未包含在 IATF 16949 中,其他方法如 Automotive SPICE 和 CMMI 可作為參考。有些客戶可能已確定其他可接受的方法,每個客戶可能有偏好的工具來評估供應商的軟體開發能力。組織應向客戶確認可接受的評估工具,並且每個客戶可能指定不同的評估方式(例如客戶現場評估、供應商自評或兩者結合)。 IATF 16949 的內部或外部稽核員無需具備執行 Automotive SPICE 或 CMMI 評估的知識,但應對評估足夠熟悉,以便能識別何時未滿足軟體評估要求並制定相應的改正計劃,同時分配適當的資源。此外,稽核員應了解客戶是否參與該軟體開發評估以及如何記錄。 |
| 16 | 8.4.2.4.1 第二方稽核 | 問題: 如果組織的供應商風險很低,是否需要第二方稽核?其意圖是什麼? 回答: ISO 9001:2015 所推動的基於風險的思維需要應用於供應商管理。風險分析需要完成,並根據風險評估的結果(如下所示),可能不需要第二方稽核。 組織需考慮以下標準來支持風險分析:供應商認證狀態、商品的複雜性、新產品導入、員工流動率、產品品質問題、交付問題、客戶特定要求及其他對組織或其客戶的風險。 |
| 17 | 8.5.6.1.1 臨時更改流程控制 | 問題: 是否需要為控制計劃中指定的每個主要控制提供替代流程控制? 回答: 不,並不要求為每個主要控制提供替代流程控制。 在引入新產品時,組織應考慮主要控制可能失效的風險,並根據失效模式的風險和嚴重性決定需要哪些替代流程控制。當需要備份或替代流程控制時,主要和替代流程控制應在流程圖、PFMEA、控制計劃和標準化作業中定義。 對於現有流程,如果主要流程控制失效,且未定義替代流程控制,組織應考慮風險(如 FMEA),並在獲得批准後,開發替代流程控制的標準化作業,實施控制,通過日常管理驗證其有效性,並在恢復主要控制後重新驗證。 組織應定期審查使用替代流程控制的情況,並將其作為更新流程圖、FMEA 和控制計劃的輸入。 |
| 18 | 9.2.2.2 品質管理系統稽核 | 已刪除,請參閱 2018 年 11 月發佈,2019 年 1 月生效的 SI 14。 |
| 19 | 9.2.2.3 製造過程稽核 | 問題: 每次製造過程稽核是否需要涵蓋所有班次? 回答: 每次稽核並不需要涵蓋所有班次(例如,可以在第一年對壓製過程進行第一和第二班次的稽核,並在第二或第三年對第三班次進行稽核)。然而,在三年的周期內,所有製造過程必須涵蓋所有班次,頻率取決於風險、性能及變更等因素。 |
| 20 | 9.2.2.4 產品稽核 | 問題: 為什麼對產品稽核沒有定義稽核頻率? 回答: 稽核頻率需根據風險和產品的複雜性來確定(參見 ISO 9001 第 9.2.2 條)。如果組織面臨高風險和高產品複雜性,建議增加產品稽核的頻率。 |
| 21 | 8.6.2 布局檢驗與功能測試 | 問題 1: 布局檢驗與產品重新資格認證或功能測試有何不同? 回答: 是的,根據 IATF 16949 第 8.6.2 條註釋 1,布局檢驗是對設計記錄中所有產品尺寸的完整測量;它僅限於尺寸測量和要求,不包括性能或材料測量。 產品重新資格認證通常包括對所有產品批准要求的完整驗證(如 PPAP 或 PPA),因此其範圍超過布局檢驗。 功能測試/驗證通常僅限於性能和材料測量(如耐久性或拉伸強度),不包括尺寸測量。 如果客戶未定義檢驗頻率,組織負責確定布局檢驗的頻率。 如果客戶要求進行產品重新資格認證,布局檢驗是其中的一部分。持續的布局檢驗和功能測試要求需在控制計劃中定義。如果存在客戶特定要求,則這些要求(包括布局檢驗和功能測試要求)也應納入控制計劃中。 |
| 22 | 9.2.2.4 產品稽核 | 問題: 如何區分產品稽核與布局檢驗? 回答: 布局檢驗僅限於設計記錄中的所有產品尺寸測量,而產品稽核可能包括對產品尺寸、性能(功能)和材料要求的驗證。 產品稽核可以根據客戶要求(如 VDA 6.5 產品稽核)進行,並可能涵蓋包裝和標籤要求。產品稽核作為稽核計劃的一部分,具有明確的頻率和範圍,基於風險來確定。 |
| 23 | 8.5.1.3 作業設置的驗證 | 問題: 如果特定製造過程未執行或不適用於首件/末件零件驗證,是否需要根據 8.5.1.3 e) 條保留相關記錄? 回答: 如 8.5.1.3 d) 條所述,首件/末件零件驗證僅在適用和適當時執行。如果驗證未執行,因為不適用或不適當,則無需保留記錄。 |
| 24 | 8.4.2.2 法規和法定要求 | 問題 1: 如果組織不負責產品設計,而僅按客戶設計製造產品,是否可豁免 8.4.2.2 的要求? 回答: 否,無論組織是否負責產品設計,都必須滿足 8.4.2.2 的適用要求。適用的要求涵蓋由組織負責的採購產品、流程和服務。 問題 2: 如果客戶未提供目的地國家的完整清單,組織是否需要向客戶請求? 回答: 是的,若客戶未提供目的地國家的完整清單,組織需要向客戶請求。 問題 3: 如果客戶未向組織提供產品目的地國家的信息,會有什麼後果?在這種情況下,組織需要記錄什麼? 回答: 如果組織聲稱客戶未提供必要的目的地國家信息,則組織應能提供其努力獲取該信息的書面證據(例如信件、電子郵件、會議記錄等)。 問題 4: 客戶應提供的目的地國家信息的詳細程度應如何?像「全球每個國家」這樣的通用說法是否合適? 回答: 不合適。「全球每個國家」這樣的通用說法是不可接受的。客戶應向組織提供車輛初次銷售的具體國家清單。 問題 5: 適用的法規和法定要求通常與產品的相關用途相關。一些零件可能根據用途成為與安全相關的產品。基於上述說法,客戶是否需要向組織提供關於預期用途的詳細信息? 回答: 客戶應向組織提供有關特性的信息,這些信息與識別所需控制以滿足適用的法規和法定要求相關(例如特殊特性)。 |
| 25 | 8.3 產品與服務的設計和開發 | 問題: 什麼構成組織的產品設計責任? 回答: 如果組織從客戶處收到零件的完整工程規範(按圖製造),則組織不承擔產品設計責任。 如果組織未收到零件的完整工程規範,則組織承擔產品設計責任。 無論如何,組織始終負責製造過程的設計。 |
| 26 | 8.5.1.5 全面生產維護(TPM) | 問題 1: 在全面生產維護的要求中包含「定期大修」一詞的意圖是什麼? 回答: 第 8.5.1.5 條中所有項目的意圖是包括維持製造設備在長期使用期間的最低步驟,以確保其能持續生產符合規範的產品。 「定期大修」是指當常規維護步驟不足以保持工具和設備能夠繼續生產符合規範的產品時,對製造工具和設備進行的重新維修。這可以通過如「平均維修間隔時間」(Mean Time Between Repairs, MTBR)或其他類似指標檢測得知。 「定期大修」已在標準的第 3 條中定義為:「一種維護方法,用於防止重大非計劃性故障中斷,根據故障或中斷歷史,主動將某一設備或其子系統停用,進行拆解、維修、更換零件、重新組裝,然後恢復使用。」 可能某些類型的工具和設備不適用於「定期大修」,例如某些工具在其使用壽命結束時可能直接被新工具替換。然而,所有工具和設備的壽命都受到使用頻率、時間或其他已知因素的限制。設備和工具的製造商是確定這些因素並估算何時需要進行重大維修的良好來源。定期大修或其適當的等效方式(如替換)需要在組織的維護計劃步驟中納入考量。 |
| 27 | 8.5.1.5 全面生產維護(TPM) | 問題: 在條款中使用「全面生產維護(Total Productive Maintenance, TPM)」一詞的意圖是什麼?這是否與行業術語「全面生產維護」相關? 回答: IATF 16949 標準中使用的「全面生產維護(TPM)」一詞是指各種相似的方法,這些方法著重於通過機器、設備、流程和員工的主動和預防性技術來提升工具和設備的可靠性,從而為組織增加製造價值。例如,行業中的 TPM 方法通常將例行維護(如清潔、潤滑和檢查)的責任交由操作人員負責。 IATF 16949 第 8.5.1.5 條的一些要求與行業 TPM 的部分核心支柱相一致。然而,第 8.5.1.5 條中的具體要求 [a) 到 j)] 是根據 IATF 16949 的規定。 IATF 16949 中使用「全面生產維護」一詞,為組織提供了採用行業 TPM 基礎原則的機會,同時滿足 IATF 16949 第 8.5.1.5 條中列出的要求。 |
| 28 | 9.2.2.3 製造過程稽核 | 問題: 製造過程稽核的預期頻率和覆蓋範圍是什麼? 回答: 對每個製造過程進行有效的評估至關重要,以確保持續生產符合客戶、法規和法定要求的產品。然而,根據 ISO 9001 和 IATF 16949 的基於風險的思維,一些製造過程或其特定方面可能需要比其他過程更高頻率的評估。 如果客戶未定義稽核頻率,組織應採用適當的風險管理方法來確定,包括考慮新技術和客戶測量的性能。被組織證明為低風險的製造過程可以較少頻率稽核,但所有製造過程需在三年稽核周期內至少稽核一次。 風險分析的證據包括持續符合所有相關要求(例如:法規和法定要求、客戶要求、過程要求和內部要求)。如果未能滿足任何相關要求,該製造過程需以高於三年一次的頻率進行稽核。第 9.2.2.3 條規定的三年頻率是針對低風險且完全合規的製造過程的最低要求。 |
| 29 | 6.1.2.3 應急計劃 | 問題 1: 在應急計劃測試中使用「網路攻擊」一詞的含義是什麼? 回答: 網路攻擊 是指試圖非法訪問計算機或計算機系統以造成損害或破壞的行為。網路攻擊通常是針對計算機系統或網路安全漏洞的蓄意利用,目的是獲取數據、修改計算機代碼、邏輯或數據。這些行為可能帶來破壞性後果,例如洩露機密數據或引發網路犯罪,如信息和身份盜竊、自動化導致的運行中斷、加密公司關鍵數據或非法遠程控制系統或數據等。 網路攻擊和網路犯罪並不總是通過強大的計算機程式執行複雜的密碼破解操作完成的。它們往往是通過設計來說服個人泄露敏感或私人信息的行為,例如: • 電子郵件(通常為網釣攻擊) • 假冒身份(如冒充受信任的人或政府官員) • 宣布虛假緊急情況的電話,獲取個人信息 • 觀察密碼輸入時的可視信息 • 在流行網站植入惡意程式 • 包含惡意程式安裝鏈接的文字訊息 • 看似合法但實際有害的 USB 隨身碟放置於辦公桌上,當插入電腦時發生攻擊 • 竊取含有機密計算機信息的丟棄材料 此外,網路犯罪者在獲得公司系統訪問權限後,可能加密公司的關鍵數據並要求支付贖金以解密數據。 歐洲的《通用數據保護條例》(GDPR)或其他地區的類似要求明確規定,組織有責任確保其保留的個人數據始終受到保護和安全,這進一步強調了為應對網路攻擊做好準備的重要性。 關於信息技術安全技術的更多詳細內容,可參閱 ISO/IEC 27001。 問題 2: 制定有效應急計劃的關鍵步驟是什麼? 回答: 組織需要證明其已制定並實施有效的應急計劃,以維持生產輸出並確保滿足客戶要求。制定有效應急計劃的關鍵步驟包括: • 分析內部和外部風險,針對所有製造過程和基礎設施設備進行分析,這些設備對維持產品供應的連續性至關重要,並按客戶的規定進行(參見 IATF 16949 第 6.1.2.3 a) 和 c) 條,包括 SI 3)。 註:風險分析通常包括對關鍵製造和基礎設施設備失效可能性及其潛在影響的評估。 • 制定應急計劃,應對製造和基礎設施設備失效的情況,並評估在此情況下持續滿足客戶要求的可能性,包括需要通知相關方時的措施。 • 具體的應急替代措施,以確保供應連續性。例如,針對電力中斷,可包括: • 備用基礎設施設備或合同服務 • 安全庫存 • 輔助能源來源等 • 審查證據,定期測試和驗證應急計劃措施的有效性,包括提升員工的應急意識。 • 符合客戶要求和客戶特定要求。 |
