(2022/05更新) IATF 16949 官方常見問題大全 FAQs

前言—汽車業品質管理系統

問題：
為什麼有兩本手冊（IATF  16949：2016 和 ISO  9001：2015）？ 兩本手冊而不是一本手冊使閱讀和理解要求變得更 加困難。 

解答：
IATF與 ISO 無法就以合併的檔案形式發表 IATF 16949 達成授權協定。 為了不再延遲新的 IATF  16949 標準的推出，IATF 決定以雙手冊格式出版。 

在發佈之前，IATF 確實與國際認證機構確認其他產業也使用雙手冊模式來確定其產業特定要求，並使用雙手冊模式進行審核，雖然不是最佳的，卻是有效的。 

IATF通過繼續保持聯絡委員會地位來與 ISO保持著強有力的合作關係，確保持續符合 ISO  9001。

前言—汽車業品質管理系統

問題：
為什麼這兩本手冊（IATF  16949：2016 和 ISO  9001：2015）比 ISO  / TS 16949 版本貴很多？ 

解答：
因為 ISO 和 IATF 之間沒有關於 IATF  16949 合併格式的共同授權協定，所以 IATF 無法就 ISO  9001：2015 標準談判折扣。 

IATF 保持汽車特定內容的價格與之前的定價一致。 從本質上講，差異在於出版 ISO  9001 需要給 ISO 全額價格。

前言—汽車業品質管理系統

問題：
如果在IATF  16949 標準中發現翻譯錯誤，應該怎麼辦？ 

解答：
IATF使用確定的過程來管理標準翻譯，包括「交叉核對」翻譯以確保準確性。 如果組織或認證機構識別出所認為的翻譯錯誤，應聯絡 IATF 成員行業協會或支援其認證機構的監督辦公室。

問題：
該條款的範圍是什麼？  許多組織專注於產品的法律法規要求，卻不相信他們有與製造產品或製造過程相關的產品安全。 

解答：
這個條款著重關注影響最終裝配安全性能的產品和製造過程特性。  
這些特性可能不是在法律法規要求中直接提出的，而可能是由顧客定義的。 

問題：
意圖是將職責分配給特定的職能（例如品質）、特定的職位（例如品質總監）還是名義上的個人（例如 Bob  Smith）呢？ 

解答：
職責分配給組織內的角色/職位（如特定職位，質量總監）。 雖然個人可能在他們的角色中承擔這些責任，但是職責仍然屬於角色（例如質量總監）。 因此，高層管理者將責任和權力分配給角色， 而不是名義上的個人。 

問題：
該條款的範圍是什麼？  許多組織專注於產品的法律法規要求，卻不相信他們有與製造產品或製造過程相關的產品安全。 

解答：
這個條款著重關注影響最終裝配安全性能的產品和製造過程特性。  
這些特性可能不是在法律法規要求中直接提出的，而可能是由顧客定義的。 

問題1：
什麼時候裝置製造商可用於校準檢驗與測試裝置？ 如果存在認可的實驗室，但是它非常偏遠和/或昂貴，並且檢驗或測試設備製造商在附近，是否可以使用（即使它們沒有通過 ISO  /  IEC  17025 的認證）？ 

解答1：
參閱修訂後的 SI 10，於 2021 年 4 月發布，2021 年 6 月生效 > 解釋令詳情內容請見 ISO顧問職人(點我)
-------------
問題2：
如果組織在最終組裝和測試區域有檢、測量和測試設備，是否可以被認為是內部實驗室？ 

解答2：
不可以。
在生產過程或裝配過程任何部分使用的線上測量和測試裝置都不被視為內部實驗室。 

問題：
此檔案 （可能是表、清單或矩陣）是否必須包含非 IATF  OEM 廠商與一級供應商？
 除了企業社會責任之外，是否需要將所有顧客要求都包含在檔中？  

解答：
根據IATF  16949 第 4.3.2節，組織負責評估顧客要求，包括顧客特定要求，並將其納入組織品質管理體系的範圍。 
根據IATF  16949  7.5.1.1  d）的要求，檔（可能是一張表、一個清單或一個矩陣）是品質手冊的一部分。 
該檔應包括認證機構的所有直接顧客，其中可能包括 IATF  OEM 廠商、非 IATF  OEM 廠商和其他汽車顧客（即一級，二級等）。 

例如：
二級組織必須考慮所有顧客的顧客要求，包括顧客特定要求。 
如果OEM不是其直接顧客，則二級組織不需要考慮汽車 OEM 的顧客需求。 

非常重要的一點是，
　- 非IATF  OEM 顧客和其他汽車顧客可以在與供應商共用的內部檔（例如供應商品質手冊）中或在向公眾提供的特定檔（例如，互聯網）中擁有顧客要求。 
　- 如果非IATF  OEM 或其他汽車顧客在其顧客要求檔中沒有明確聯繫 IATF  16949 條款，則可能很難識別顧客特定要求。 確定是否存在顧客特定要求的方法是比較IATF  16949 標準中存在術語「如果顧客要求」的部分，並驗證現有顧客要求檔是否列出了與 IATF  16949 標準中的要求相關的特定要求。 如果是，則應在品質手冊中將該顧客及其要求添加到檔（可能是表格、清單或矩陣）中。 
　- 不應期望組織接受顧客的要求，包括顧客特定要求，並將其轉換為符合IATF  16949 條款的類似於 IATF  OEM 所發布的 CSR 格式。 

問題1：
（關於法律法規的一致性）的觀點是什麼？ 被認為是符合適用的法律法規要求的充分證據（8.6.5） 是什麼？ 

解答1：
如8.3.3.1：g）和 8.3.4.2 中所定義的，
組織必須採取一種方法來研究、識別、取得副本、評審、理解並確保其在製造產品的國家和在運送產品的目的地國生產的產品符合法律法規要求。 
8.4.2.2 的意圖是：
組織應設計其產品開發方法/業務過程和供應商管理方法/業務過程，從供應商那裡獲得由供應商提供的服務符合供應商製造國的、組織使用國的、以及組織將產品運送到的目的地國的（如果由顧客提供）法律法規要求的證明和證據的一種或多種方法。 
8.6.5 的意圖是：
要求組織檢驗從供應商處收到的一致性/合規性記錄，以確保供應商提供的證據涵蓋產品的批次代碼、批號或可比較的可追溯性資訊。 這可以從供應商處收到，或在產品存貨時完成，但必須在產品放行到組織的生產過程之前完成。 
-------------
問題2：
從 ISO/TS 16949 到 IATF 16949，第 8.4.2.2 條款的意圖是否發生了改變？ 

解答2：
條款的意圖沒有改變。  
ISO  /  TS  16949的要求是「所有購買的產品應符合適用的法律法規要求」。 在這種「被動語態」的措辭中，顯然沒有明確 IATF 的期望。 新要求更明確的是要做什麼，什麼時候要完成，需要哪些證據來支援合規性。 
-------------
問題3：
你如何管理和維護當前關於國際供應商的法律法規要求的知識？  

解答3：
IATF16949第 8.6.5 節並不要求組織為所購買的外部提供的過程、產品或服務知道或保留所有國際法律法規要求的清單。 
要求組織檢查結果、審核或以其他方式定期驗證供應商的過程是否健全並確保其符合最新的適用法律法規和其他要求、其製造國以及顧客指定的國家的法律法規和其他要求。
-------------
問題4：
如果顧客沒有向組織傳達資訊，我們的系統如何理解法律法規要求？  

解答4：
該條款的措詞是期望顧客向產品將要運送到的組織提供資訊。  
由於這些目的地的變化而引起的適用法律法規要求的變化只是由顧客「如果提供」給組織的要求。

問題1：
在處理之前「認定為不可用」的意圖與要求是什麼？需要在何時何地將產品「認定為不可用」？ 

解答1：
目的是確保產品無法進入非官方的售後市場、進入公路用車或意外運送給顧客。 
只要產品在最終處置之前被宣佈為不可用，那麼將不合格產品認定為不可用的過程不必在製造區域中發生。 
-------------
問題2：
組織如何對此進行控制嗎 ？ 

解答2：
組織負責制定和執行不合格產品的處理過程並驗證其有效性。  
-------------
問題3：
組織是否可以使用服務提供者來認定產品不可用？ 

解答3：
是的，
將產品認定為不可用的過程可以外包給一家服務提供者。 
如果使用服務提供者，組織需要批准並定期驗證供應商如何認定產品為不可用。
-------------
問題4：
不合格產品處置是否僅適用於最終產品，還是也適用於元件/部件裝配？  

解答4：
該要求適用於已透過零件審批過程且組織正向顧客運送的產品。 
-------------
問題5：
對於認定不可用，需要多大程度地損壞不合格產品？ 

解答5：
該要求適用於已透過零件審批過程且組織正向顧客運送的產品。 

問題：
在一個「文件化」的「中紀錄」 等「 紀錄」是可以接受的嗎？或者它們都必須是單獨的文件化過程嗎？ 

解答：
是的， 
組織將多個文檔化的過程分組到一個（或多個）過程中是可以接受的。 
每個文檔化的過程並不一定是一個單獨的過程。 組織應該記錄他們的過程，因為這對他們的個人業務和組織需求是有意義的。

問題：
在產品安全（4.4.1.2）方面，對培訓水準和需要確定的特定標準有哪些要求？

解答：
是的， 

與所有的人員能力要求一樣，被分配了特定任務的人員需要有勝任這項工作的能力。 這種能力包括與工作相關的規章制度。 

第4.4. 1.2節中關於需要什麼樣的安全要求是非常具體的。 
參考 IATF 16949第 4.4.1.2 節，這些條款包括：

a) 供應商應如顧客所期望的那樣，瞭解與市場零件使用有關的所有法律法規要求。 供應商需要知道在哪裡可以研究所有受到影響的國家或地區的法規。
b) 顧客特定要求將識別任何顧客通知要求;因此，關於顧客特定要求的知識（由內部指定的主題專家講授）。 
c) 設計FMEA 的特別批准將在顧客特定要求中識別，見上述 b）條款。 
d)和e) 與產品安全相關特性及其控制的識別，將由顧客在其定義的特殊特性和所需控制中進行定義。 制定 PFMEA 與控制計畫的人員需要對顧客檔案的這些方面有足夠的知識。 
條款 f)到條款 m）也可以進行類似的分析，以確定培訓等級和安全要求中每條要求的培訓來源。 

由於許多要求取決於顧客特定要求，因此在這個問題上沒有單一的完整的行業培訓。 組織需要評審與每個零件相關的顧客和法規要求是否適合於預期使用的國家以及安全相關的零件特性。

一些顧客可能對產品安全、培訓、知識和人員有具體要求。 瞭解顧客對產品安全相關的具體要求是組織的責任。

問題：
是否需要一個外部實驗室的校準證書或（測試）報告具有與認可該實驗室為 ISO/IEC  17025 的相關國家認證機構的標誌（或標識或符號）？ 

解答：
是的， 只有包括國家認證機構標誌的校準證書或測試報告是可以接受的。 
國家認證機構的認證旗標（通常也被稱為'認證識別'或'認證符號'）證明所提供的檢查、測試或校準服務是根據認證範圍、符合 ISO/IEC  17025的要求，並接受國家認證機構的監督進行的。 

問題：
評估供應商的軟體開發能力的可接受方法是什麼？ 

解答：

IATF 16949 第 8.3.2.3 節的目的是對軟體的開發應用與硬體部件的開發相同的嚴格程度。 就像部件一樣，軟體定義了性能、操作條件、已知輸入、指定輸出、環境參數（例如檔的大小）、法規要求（如果有的話）、已知的失效模式、使用模式、操作條件的可變性等。
軟體開發中的計畫、設計、編寫、測試、確認和生產驗證階段與硬體元件開發中的這些概念並沒有太大的不同。  IATF  16949 提供了一個健全的框架來驗證是否已經採取了所有必要的步驟來設計、驗證和生產在大量生產中繼續滿足規範的硬體部件。 雖然在概念上類似，但這些步驟對於軟體的開發是不一樣的。 因此，要使用一組不同的標準來評估用於開發軟體的方法。 

這些標準並沒有包括在IATF 16949內;因此，其他的方法也可供參考，例如 Automotive  SPICE 和CMMI。 可能還有顧客確定的其他可接受的方法。 每個顧客可能有一個首選的工具來評估供應商軟體開發能力。 組織應該要求他們的顧客確認可接受的評估工具。 每個顧客還可以指定使用不同的方法。（例如，顧客現場評估，供應商自我評估，或者兩者的結合）。 

IATF 16949 內部或外部審核員不需要具備進行 Automotive  SPICE 或 CMMI 評估的知識。 然而，內部或外部審核員應該足夠熟悉評估，以便能夠識別當軟體評估需求未得到滿足時，有適當的資源支持的糾正行動計劃。  IATF  16949 內部和外部審核員也應該知道顧客是否參與了軟體開發評估，以及是如何記錄這些評估的。

問題：
如果組織的供應商有低風險，需要進行第二方審核嗎？目的是什麼？

解答：
在 ISO  9001：2015 的推動下，基於風險的思維方式需要被納入供應商管理。 需要根據風險評估的結果完成風險分析，因此可能不需要進行第二方審核。 

為了支援風險分析，組織需要考慮以下標準：供應商認證狀態、商品複雜性、新產品發佈、顯著的員工流動率、產品品質問題、交付問題、顧客特定要求以及對組織或對其顧客的其他風險。

問題：
是否控制計畫中指定的每個主要控制都必須有替代的過程控制？ 

解答：
不是的，
不要求每個主要控制都有一個替代的程序控制。 
在引入新產品時，組織應該考慮到主要控制可能失敗的風險，並且基於失敗模式的風險和嚴重程度，決定哪裡需要替代的過程控制。 當需要備份或替代的過程控制時，應該在過程流、PFMEA、控制計劃和可用的標準化工作中定義主要的和替代的過程控制。 

對於現有的過程，在主要過程式控制中出現故障，並且沒有確定替代的過程控制的情況下，組織應該考慮風險，（例如FMEA），以及如果獲得批准，為替代的過程控制開發標準化工作，實施控制， 通過日常管理驗證有效性，然後在恢復主要控制時重新生效。 

組織應定期檢查已使用替代的過程控制的實體，並將其視為更新過程流、FMEA 和控制計畫的輸入。 （見認可解釋 11）

18
(刪除)

問題：
如果組織的供應商有低風險，需要進行第二方審核嗎？目的是什麼？

解答：
在 ISO  9001：2015 的推動下，基於風險的思維方式需要被納入供應商管理。 需要根據風險評估的結果完成風險分析，因此可能不需要進行第二方審核。 

為了支援風險分析，組織需要考慮以下標準：供應商認證狀態、商品複雜性、新產品發佈、顯著的員工流動率、產品品質問題、交付問題、顧客特定要求以及對組織或對其顧客的其他風險。

問題：
為什麼產品審核沒有確定的審核頻率？ 

解答：
審核頻率必須根據風險和產品的複雜性來確定（見ISO  9001，第 9.2.2 節）。 如果一個組織有很高的風險和很高的產品複雜性，則建議提高產品審核頻率。

問題：
全尺寸檢驗是否不同於產品重新認證或功能性試驗？ 

解答：
是的，
如IATF 16949第8.6.2條注1所述，
[全尺寸檢驗是設計紀錄中顯示的所有產品尺寸的完整測量];
全尺寸檢驗僅限於尺寸測量和要求。 績效或材料測量不包括在全尺寸檢驗中。 

產品再評定通常意味著對所有產品批准要求（例如 PPAP 或 PPA）的完全驗證，因此超出了全尺寸檢驗的範圍。 

功能測試/驗證通常僅限於性能和材料測量，如耐久性或抗拉強度，
不包括尺寸測量。  如果顧客沒有明確頻率，組織負責確定全尺寸檢驗查的頻率。 
全尺寸檢驗是產品再評定的一部分，如果顧客要求產品再評定的話。 
在控制計劃中明確了持續的全尺寸檢驗和功能測試要求。 如果存在顧客特定要求，那麼那些要求（包括  全尺寸檢驗和功能測試要求）也包含在控制計畫中。 

問題：
產品稽核與全尺寸檢驗有何不同？ 

解答：
正如IATF  16949第3節中定義的，術語產品產品「用於表示製造過程的」 任何預期的輸出..."。 

產品通常具有尺寸、性能（功能）和材料要求，因此，產品審核可能包含對尺寸、性能（功能）或材料要求的驗證。 如上文FAQ  21所述，全尺寸檢驗僅限於尺寸要求。 

產品稽核可根據顧客指定的方法（如VDA  6.5產品審核）對已完成或部分完成的產品進行實施，如適用。 產品稽核可包括包裝和標籤要求。 

與其他審核類型一樣，產品審核是對要求符合性的獨立驗證。 因此，產品審核具有審核方案中規定的頻率和範圍，並基於風險。 

問題：
如果對某一特定類型的製造過程不進行或不適用首件/末件確認，是否應按照8.5.1.3  
e）的要求保留這些記錄？

解答：
如8.5.1.3  d 所述，只有在適用和適當的情況下，才會進行首件/末件確認。 如果因為不適用或不合適而不進行確認，則不需要保留記錄。 

問題1：
如果組織不負責產品設計，因此只是按照顧客的設計製造產品，那麼組織是否可以免除8.4.2.2 中的要求？

解答1：
不，
所有組織無論其產品設計責任如何，都必須滿足8.4.2.2 的適用要求。 適用要求涉及組織負責的採購的產品、過程和服務。  
-------------
問題2：
如果顧客沒有提供目的地國的完整清單，組織是否需要向顧客請求該清單？ 

解答2：
是的，如果顧客沒有提供目的地國家的完整清單，則要求組織向顧客索取該清單。
 
_{註：
- 「接收國」是本組織的所在地。（製造地點所在國家）
- 「 載運國」是顧客的收貨地點。（生產基地運往的國家）
-   目的地國家「是車輛銷售的國家」。（最終產品最初銷售的國家）}
-------------
問題3：
如果顧客不向組織提供目的地國家的資訊，後果會怎樣 在這種情況下，組織需要記錄什麼？

解答3：
如果組織聲稱顧客沒有提供目的地國家的必要資訊，組織應該能夠提供書面證據（例如信件、電子郵件、會議記錄等）以證明他們為獲取這些資訊所做的努力。 
-------------
問題4：
顧客應該提供關於目的地國家的什麼級別的詳細資訊？ 
像「全球每個國家」這樣的一般性聲明是恰當的回應嗎？  

解答4：
不，像「全球每個國家」這樣的一般性聲明是不能接受的。 顧客應向組織提供車輛最初銷售國的特定清單。 
-------------
問題5：
適用的法律和法規要求通常與產品的相關使用相關聯。 根據使用方式，有些零部件可能成為與安全相關的產品。 基於上述陳述，顧客是否需要向組織提供關於預期用途的詳細資訊？ 

解答5：
預期顧客將向組織提供有關特性的資訊，這些特性與識別滿足適用的法律和法規要求的必要控制相關（例如：特殊特性）。

問題：
什麼構成組織的產品設計責任？ 

解答：
如果組織從其顧客那裡收到其正在製造的零組件（按圖紙製造）的完整定義的工程規範，則該組織不負責產品設計。 
如果組織沒有收到其正在製造的零組件的完整定義的工程規範，則組織負責產品設計。 
在所有情況下，組織負責製造過程設計。

問題：
在全面生產維護的要求中包括「週期性檢修」一詞的意圖是什麼？ 

解答：
第 8.5.1.5 節中
所有生產線專案的目的是包括在長時間使用中維護製造設備的最低步驟，使其能始終按規範生產產品。 

「週期性檢修」 是指定期維護步驟不再足以使工具和設備保持在可以繼續使產品符合規範的條件下所需的製造工具和設備的返工，如使用平均修理間隔時間或其他類似指標所檢測的那樣。 

週期性檢修已經在標準第三節中定義，用於防止發生重大意外故障的維護方法，此方法根據故障或中斷歷史，主動停止使用某一設備或設備子系統，然後對其進行拆卸、修理、更換零件、重新裝配並恢復使用。  ”

也許週期性檢修不適用於某些類型的工具和設備。 也許一些工具只是在其使用壽命結束時簡單地用新工具替換。 然而，根據使用方式、時間或其他已知因素，所有工具和設備的使用壽命都是有限的。 工具和設備製造商會是確定哪些因素並估計何時需要完成這些主要工作的良好來源。 週期性檢修或其適當的等效（例如更換）將需要在組織的維護計畫的步驟中加以考慮。

問題：
在本條款中使用術語「全面生產維護」的目的是什麼？ 與產業術語「全面生產維護」是否有關係？ 

解答：
IATF 16949標準中使用的術語全面生產維護（TPM）指的是各種類似的方法，這些方法側重於主動和預防性技術，這些技術通過機器、設備、過程和員工來提高工具和設備的可靠性，從而為組織增加了製造價值。 
例如，TPM 的產業方法將日常維護的責任（例如清潔、潤滑和檢查）交給了作業員。 
IATF 16949中第 8.5.1.5 條有一些要求與行業 TPM 的某些支柱保持一致。 但是，8.5.1.5  
[a）到 j）]
的個別要求如IATF  16949 所述。  IATF  16949 中術語「全面生產維護」的使用使組織有機會採用產業全面生產維護的基本原則，同時滿足IATF 16949 中列出的 8.5.1.5 的要求。 

問題：
製造過程稽核的變更的頻率和覆蓋範圍是什麼？ 

解答：
對每個製造過程的有效評估對於確保產品的持續製造滿足顧客和法律法規要求至關重要。 然而，與 ISO 9001和 IATF 16949 的風險方法相一致，一些製造過程或製造過程的某些方面可能比其他過程需要更高的評估頻率。 
組織透過使用適當的風險管理方法（包括考慮新技術和顧客測量的績效）來確定審核頻率（如果不是由顧客定義的）。 被組織證實為低風險的製造過程，其審核頻率可能低於高風險過程; 但是，所有製造過程都在三年的審核週期內進行審核。 

風險分析的證據包括持續遵守所有相關要求（例如：法律法規、顧客、過程和內部要求）。 如果任何一個相關的要求沒有被滿足，則對製造過程的審核頻率要高於每三年一次。 根據第9.2.2.3 條規定，三年頻率是針對低風險和完全符合製造過程的最低要求。

問題：
在該行排機試驗中使用術語「網路攻擊」一字是什麼意思？

解答：

-  網路攻擊是指以造成破壞或損害為目的，試圖非法訪問計算機或電腦系統。  
-  網路攻擊通常是蓄意利用電腦系統或網路安全性方面的弱點來取得資料存取權，修改計算機代碼、邏輯或資料。
-  這些行為可能會產生破壞性的後果，可能會洩露機密數據並導致網路犯罪，例如資訊和身份盜竊、自動化導致的操作中斷、公司關鍵數據的加密或對系統或數據的非法遠端控制。 
-  網路攻擊和網路犯罪並非總是由一系列複雜的動作導致的，這些動作使用的是由一群人遠端運行的強大電腦程式來猜測密碼。 它們通常是旨在說服個人通過電子郵件記錄（通常是網路釣魚）感染發佈敏感或私人資訊的行為，假冒（冒充受信任的人或政府官員），發佈虛假緊急情況獲取個人資訊的電話，可視化鍵入的密碼，帶有惡意軟體的熱門網站，帶有指向安裝惡意軟體的網站的連結的簡訊，擺放在 PC 上的看起來是合法的 USB 驅動器（已插入電腦）以及盜竊含有機密計算機資訊的廢棄材料等。 此外，網路犯罪分子在獲得公司系統的訪問權后，可以對公司的關鍵數據進行加密， 並要求贖金來解密數據。 
-  此外，歐洲的 GDPR（一般數據保護條例）或其他地區的類似要求規定，組織有責任確保組織保留的個人數據在任何時候都受到保護並確保安全，這加強了防範網路攻擊的重要性。 
-  有關資訊技術安全技術的其他詳細資訊，可通過 ISO/IEC  27001 獲得。 

 _{( 近期更新 2022-05 )} 

問題：
有效的緊急計畫關鍵步驟為何？

解答：

1. 要求組織證明已制定並實施有效的緊急計畫以維持生產交貨並確保滿足顧客要求。
2. 制定有效的緊急計畫關鍵步驟，包含：

• 分析所有製造過程和基礎設施設備的內部和外部風險，這些風險對於維持客戶指定的產品供應連續性至關重要（參見 IATF 16949，第 6.1.2.3 a) 和 c) 條，包括 SI 3）。
  _{注：風險分析通常包括對基本製造和基礎設施設備故障的可能性和潛在影響的評估。}
• 製造和基礎設施設備發生故障以及持續滿足客戶要求的可能性時制定緊急計畫，包括向利害關係人發出任何必要的通知。
• 確保供貨持續性具體的緊急計畫之備用方案，例如電力中斷，可能包括：備用基礎設施設備或合約服務、安全庫存、輔助資源等。
• 緊急計畫措施有效性的審核、定期測試和驗證之證據，包括員工意識。
• 符合客戶要求和客戶特定要求。