1.請先看貴公司有沒有相關的管理辦法、程序(依據)
2.資訊相關的申請表單(簽核)
3.處理過程及完成比例(過程)
最後產出平台系統或報告(成效)

細項仍需內部稽核員來檢視
(正常來審查,看資訊的比例及時間很少但不能沒有準備)

若是一般上市櫃公司已經有標準規規範，利用現有表單制度即可。
除非有特殊要求。
若是沒有上市櫃的話，就是依照上市上櫃公司資通安全管控指引即可完成大方向的要求。

SI#18 7.1.3.1
組織應採用多方論證方法，包括風險識別和風險緩解方法，用於開發並改進工廠、設施和設備計畫。在設計工程時，組織應：
a）優化材料的轉移和搬運，以及對場地空間的增值使用，包括對不合格品的管制，且；
b）如適用時，便於材料的同步流動，且；
c）對支援生產製造的設備和系統實施網路保護。

SI#21 6.1.2.1
組織應持續的進行風險分析，至少包括：產品召回、產品稽核、現場退貨和修理、投訴、報廢及返修中吸取的經驗教訓。
包含資訊技術系統的網絡攻擊與威脅。
組織應保留文件紀錄，作為風險分析結果的證據。

SI#22 7.2.1
為了減少或消除對組織的風險，培訓和意識還應包含與組織的工作環境和員工職責相關的預防信息，例如識別設備異常的徵兆和/或網絡攻擊未遂。

SI#23 6.1.2.3
組織應制定緊急計畫，以確保在下列任何事件發生時供應的連續性，但不限於關鍵設備故障（參見8.5.6.1.1條）、供應鏈中斷、自然災害（如火災）、流行病、公共設備中斷、對資訊科技系統的網路攻擊、勞動力短缺和基礎設備的破壞

8.1.2
組織需確保客戶專有資訊的機密性，包括在整個供應鏈中保護客戶分享的敏感資料（如設計、合約等）。

參考資料：
https://isoleader.blogspot.com/2017/11/iatf-16949-SI-2017.html

根據上方mathewkl大大的說明，依個人所知的提供參考
下面是mathewkl大大提到的16949修正條文：
SI#18 7.1.3.1
組織應採用多方論證方法，包括風險識別和風險緩解方法，用於開發並改進工廠、設施和設備計畫。在設計工程時，組織應：
c）對支援生產製造的設備和系統實施網路保護。
SI#21 6.1.2.1
組織應持續的進行風險分析，至少包括：產品召回、產品稽核、現場退貨和修理、投訴、報廢及返修中吸取的經驗教訓。
包含資訊技術系統的網絡攻擊與威脅。

你們應該有一份分險分析表，本來會有退貨或是機器設備風險分析的，要再加入資訊網路設備異常或網路受攻擊的評分跟應對*

SI#22 7.2.1
為了減少或消除對組織的風險，培訓和意識還應包含與組織的工作環境和員工職責相關的預防信息，例如識別設備異常的徵兆和/或網絡攻擊未遂。
有人說公司要辦教育訓練提供一些資訊安全或是防止網路攻擊的教育訓練

SI#23 6.1.2.3
組織應制定緊急計畫，以確保在下列任何事件發生時供應的連續性，但不限於關鍵設備故障（參見8.5.6.1.1條）、供應鏈中斷、自然災害（如火災）、流行病、公共設備中斷、**對資訊科技系統的網路攻擊、**勞動力短缺和基礎設備的破壞

公司應該有緊急應變的演練，需加入資訊科技的網路攻擊項目
以上是16949系統面要有的考量及作業，品保應該會知道有那些地方要妳加入的。
實際作業面就可能看你們的設備狀況，這些系統要求主要目的還是要維持工廠的正常生產。
希望有所幫助

建議lcc28大換個角度想，不要對被稽核這件事太抵觸。

1. 稽核就像是體檢，資安只是其中的一部份，近期資安事件在各產業層出不窮，所以資安被列入稽核項目是很正常的。
2. 不需要有太大壓力，反正是第一次被列入稽核項目，就算有缺失，應不至於導致全廠的稽核過不了，最多就是改善複驗囉。
3. 不需要作假，您可以參考ISO 27001，整理出您部門目前有在執行的資安相關規定及表單文件以備核驗。
4. 被稽核到有缺失並不一定是壞事，就如同您在討論串中提到的UPS及網路問題，若這個項目被列為缺失，才是您提改善計劃的時機。