IATF16949认证中信息安全不符合

来源：未知   时间：2025-08-09 16:21

查见组织识别了内外部环境因素，并采用 SWOT 方法进行了风险分析，包括了:从产品召回、产品审核、使用现场的退货和修理、投诉、报废及返工中吸取的经验教训，但未包括对信息技术系统的网络攻击威胁的风险分析。从这个不符合上看，主要问题是企业没有对信息系统的网络攻击进行风险分析。1、为什么要关注信息系统的网络攻击的风险呢？  这个要求其实来源于16949标准的SI 要求。  随着组织自动化、智能化制造水平的提升，企业面临的信息安全的风险在不断增加。 信息安全漏洞被人利用进行网络攻击的，会直接导致交付风险，因此16949关注了此方面的风险。2、与网络及信息系统安全相关的条款有哪些?3、如何实施上述条款呢？  3.1 先识别出需要保护的设备和系统，形成信息资产清单，并对资产从机密性、完整性、可用性三个指标维度进行赋值，得到资产价值，从而得到重要的信息资产。  3.2 对重要的信息资产识别其威胁和脆弱性，形成威胁和脆弱性清单。    3.2.1 针对威胁来源，根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。  3.2.2 脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关。3.3 针对威胁和脆弱性，计算不同资产的风险大小，分别制定不同的预防措施和应急措施。  针对风险高的资产制定专项应急预案，并对应急预案进行演习、培训、评审。3.4 收集国内外、公司内部信息安全的事件，对员工定期或不定期进行网络安全事件的培训和意识教育，提高全员网络安全意识。
 

上一篇：IATF16949质量认证所遵循的核心要求

下一篇：IATF16949认证与VDA6.3的关系