7月21日晚，IATF16949网站上发布了两条新的SI（SI21&22），并更新了第3以及第10条SI，第3条SI更新发布 2021年11月生效，第21~22条SI 2021年11月重新发布，第10条SI更新发布 2021年8月生效。

6.1.2.3 应急计划

组织应：

a) 对保持生产输出并确保顾客要求得以满足而言必不可少的所有制造过程和基础设施设备，识别并评价相关的内部和外部风险；

b)根据风险和对顾客的影响制定应急计划；

c) 准备应急计划，以在下列任一情况下保证供应的持续性，包括但不限于（SI3 2021年7月更新）：关键设备故障（另见第8.5.6.1.1条）；外部提供的产品、过程和服务中断；常见自然灾害；火灾；大型病染病（SI3 2021年7月更新）公共事业中断；对信息技术系统的网络攻击(SI3 2017年10月)；劳动力短缺；或者基础设施破坏;

d)作为对应急计划的补充，包含一个通知顾客和其他相关方的过程，告知影响顾客作业的任何情况的程度和持续时间；

e) 定期测试应急计划的有效性（如：模拟，视情况而定）；

对于网络安全（SI3 2021年7月更新）,网络安全测试可能包括网络攻击的模拟，对特定威胁的定期监视，试别相关性以及漏洞优先级。该测试适合于相关的顾客中断风险；

注：网络安全测试可以组织内部管理或适当分包(SI17 2019年10月)

f)利用包括最高管理者在内的跨部门小组对应急计划进行评审（至少每年一次），并在需要时进行更新；

g)对应急计划形成文件，并保留描述修订以及更改授权人员的形成文件的信息。

1. h) 在应急计划中包括制定和实施适当的员工培训和意识（SI3      2021年7月更新）

应急计划应包含相关规定，用以在发生生产停止的紧急情况后重新开始生产之后，以及在常规停机过程未得到遵循的情况下，确认制造的产品持续符合顾客规范。

修改内容

1、这次c条款增加了包括但不限于，意思是组织至少识别并准备标准中罗列的风险项目，但是可以有其他组织自己识别的风险。

2、增加大型传染病的应急计划。

3、这个修改只是对上次SI的一个说明，这条内容只是针对网络安全的测试的说明。

4、h条增加了应急计划中必须包括对员工能力和意识的培训要求，这个是新增的部分。

6.1.2.1 风险分析

组织应在风险分析中至少包含:

a)从产品召回、产品审核、使用现场的退货和修理、投诉、报废及返工中吸取的经验教训。

b)对信息技术系统的网络攻击威胁。(SI 20 2021年7月)

本条SI修改的内容是：

7.2.1 能力–补充

组织应建立并保持形成文件的过程，识别包括意识（见第7.3.1条）在内的培训需求，并使所有从事影响产品要求和过程要求符合性的活动的人员具备能力。从事特定指派任务的人员应按要求进行资格认可，尤其关注对顾客要求的满足。

为了减少或消除对组织的风险，培训和意识还应包括与组织工作相关的预防信息，

环境和员工的责任，例如识别可能的设备故障和/或试图进行过的网络攻击的症状。(SI 21 2021年7月)

7.1.5.3.2 外部实验室

为组织提供检验、试验或校准服务的外部/商业/独立实验室应有一个确定的范围，包括其从事所要求的检验、试验或校准能力，并且：

—  该实验室应通过ILAC MRA（国际实验室认证论坛互认协议 – www.ilac.org）的认证机构(签约方)（SI10 2018年4月）的 ISO/IEC 17025或国家同等标准的认证（如中国的CNAS-CL01）（SI10 2018年6月），并包括认证（证书）范围内的相关检查、测试或校准服务；校准证书或测试报告应包括国家认证机构的标志；或

— 如果使用未经认可的实验室（例如，但不限于：专业或集成设备、规范没有国际可追溯标准参考，或原始设备制造商），组织有责任确保有证据表明该实验室已经过评估，并满足IATF 16949第7.1.5.3.1条的要求。（SI10 2021年7月）

注：测量设备的集成自校准，包括使用专有软件，不符合校准要求（SI10 2021年4月）。