ISOSAE 21434標準培訓考試試題

ISO/SAE21434標準培訓考試試題第第頁ISO/SAE21434標準培訓考試試題開卷考試，總時間為2小時；總分達到80分為合格，否則為不合格。僅總分達到60分及以上時允許補考一次。您的姓名：[填空題]*_________________________________您的部門：[單選題]*○產(chǎn)品工程部○項目管理部○質(zhì)量中心○制造技術部○采購中心○十堰工廠○供應鏈＆物流部○人力資源部○其他一、選擇題（每題4分，共40分），選項中僅包括一個正確答案。1.ISO/SAE21434標準適用于:[單選題]*○A）與車聯(lián)網(wǎng)相關的云服務相關產(chǎn)品○B(yǎng)）ICT產(chǎn)品提供商○C）道路車輛電子電氣（E/E）系統(tǒng)○D）汽車行業(yè)機械零部件2.以下對ISO/SAE21434描述不正確的是:[單選題]*○A)明確了在概念、產(chǎn)品開發(fā)、生產(chǎn)、運行、維護和退役階段的網(wǎng)絡安全風險管理的要求○B(yǎng)）規(guī)定了與網(wǎng)絡安全相關的具體技術或解決方案○C)標準的應用僅限于批量生產(chǎn)道路車輛(即非原型車)中與網(wǎng)絡安全相關的相關項和組件，包括售后市場和服務零部件○D）車輛外部的系統(tǒng)(例如后端服務器)不在本標準的討論范圍內(nèi)3.對于組織層面的網(wǎng)絡安全管理，說法不正確的是:[單選題]*○A）為支持網(wǎng)絡安全工程，組織實施網(wǎng)絡安全管理體系○B(yǎng)）組織提供解決網(wǎng)絡安全問題所需的資源可以是負責網(wǎng)絡安全風險管理、開發(fā)和事件管理的人員○C）信息技術安全、功能安全和隱私是與與網(wǎng)絡安全相關或與有相互作用的學科○D）網(wǎng)絡安全管理體系的實施如何整合到現(xiàn)有過程中不是ISO/SAE21434關注的重點4.下列哪個屬于強大的網(wǎng)絡安全文化:[單選題]*○A）網(wǎng)絡安全和功能安全享有最高優(yōu)先級○B(yǎng)）不考慮具體需求，采取不恰當且非常嚴格地強制要求遵守網(wǎng)絡安全○C）對網(wǎng)絡安全的消極態(tài)度，例如嚴重依賴于開發(fā)后期的測試○D）管理層只有在生產(chǎn)、現(xiàn)場發(fā)生網(wǎng)絡安全事件，或媒體上對競爭對手產(chǎn)品時有大量關注時才會做出反應5.組織應建立并維護持續(xù)改進過程。以下不屬于持續(xù)改進的是:[單選題]*○A）修正在體系審核過程中發(fā)現(xiàn)的不符合點○B(yǎng))以往經(jīng)驗的學習，包括通過網(wǎng)絡安全監(jiān)測，匯總網(wǎng)絡安全信息○C）向相關人員傳達網(wǎng)絡安全經(jīng)驗教訓○D）定期根據(jù)ISO/SAE21434標準要求組織規(guī)則和過程的充分性6.質(zhì)量管理體系的建立和維護對于網(wǎng)絡安全工程實施非常重要，包括:[單選題]*○A）需求管理，變更管理，配置管理以及文檔管理○B(yǎng)）內(nèi)審和管理評審○C）生產(chǎn)管理○D）糾正和糾正措施7.關于具體項目中網(wǎng)絡安全活動的責任，說法不正確的是:[單選題]*○A）應分配、溝通能夠?qū)崿F(xiàn)和維護網(wǎng)絡安全的責任，以及相應的組織權(quán)限○B(yǎng)）責任不可以轉(zhuǎn)移○C）相應網(wǎng)絡安全活動的責任應在網(wǎng)絡安全計劃中包括○D）規(guī)劃和執(zhí)行網(wǎng)絡安全評估的人員應保持獨立8.關于裁剪，說法不正確的是[單選題]*○A）在基于項目的網(wǎng)絡安全管理中，可以裁剪網(wǎng)絡安全活動○B(yǎng)）如果網(wǎng)絡安全活動被裁剪，則應提供理由○C）網(wǎng)絡安全活動被裁剪的理由應進行獨立評審○D）在供應鏈的協(xié)作中，網(wǎng)絡安全活動的分布可能導致共同裁剪9.在基于項目的網(wǎng)絡安全管理中，相關項或組件面向開發(fā)后階段的發(fā)布，應滿足的條件不包括:[單選題]*○A）網(wǎng)絡安全檔案中提供的網(wǎng)絡安全論據(jù)令人信服○B(yǎng)）適用時，網(wǎng)絡安全檔案已由網(wǎng)絡安全評估確認○C）是否定義并維護觸發(fā)器○D）開發(fā)后階段的網(wǎng)絡安全需求已被接受10.以下哪一項關于網(wǎng)絡安全事態(tài)說法是正確的:[單選題]*○A）應評估網(wǎng)絡安全事態(tài)以識別相關項或組件中的脆弱性○B(yǎng)）在網(wǎng)絡安全事態(tài)評估過程中，應為未被確定為漏洞的脆弱性提供理由○C）應對相應的網(wǎng)絡安全風險進行評估和處理，確保未遺留不合理的風險○D）根據(jù)風險處理決定是否需要網(wǎng)絡安全事件響應二、判斷題（每題2分，共10分）。請選擇一個答案。11.在定義網(wǎng)絡安全目標時，應明確防止在生產(chǎn)過程中未經(jīng)授權(quán)的更改的網(wǎng)絡安全控制措施[單選題]*○A、正確○B(yǎng)、錯誤12.在制定網(wǎng)絡安全事件響應計劃時，應包括確定進展的方法[單選題]*○A、正確○B(yǎng)、錯誤13.車輛內(nèi)的更新以及與更新有關的能力應按照ISO/SAE21434的規(guī)定進行開發(fā)[單選題]*○A、正確○B(yǎng)、錯誤14.應驗證已定義的網(wǎng)絡安全規(guī)范，以確保其完整性、正確性以及與更高層級抽象架構(gòu)的網(wǎng)絡安全規(guī)范的一致性[單選題]*○A、正確○B(yǎng)、錯誤15.網(wǎng)絡安全聲明(Cybersecurityclaims)必須用于網(wǎng)絡安全監(jiān)控。[單選題]*○A、正確○B(yǎng)、錯誤三、簡答題（每題10分，共50分）。請把您的闡述寫在對應的空白區(qū)域內(nèi)。16.請簡單描述組織內(nèi)部進行審核的過程，以及所依據(jù)的審核準則有哪些。[填空題]*_________________________________17.請簡單描述在進行“相關項定義”時應描述哪些信息，并給出TARA的過程描述。[填空題]*_________________________________18.假設您所在的公司準備在2024年研發(fā)一款通用型的汽車MCU芯片，并符合ISO/SAE21434標準的要求,在立項時任命您作為本項目的網(wǎng)絡安全負責人，您將如何制定本項目的網(wǎng)絡安全計劃。[填空題]*_________________________________19.在定義網(wǎng)絡安全規(guī)范時，應考慮哪些維度?應使用哪些方法并從哪些維度驗證已定義的網(wǎng)絡安全規(guī)范?[填空題]*_________________________________20.請根據(jù)案例描述，判斷是否存在不符合(2分)，如果存在，請指出不符合事實(4分)，不符合ISO/SAE21434:2021標準的條款編號及內(nèi)容(4分);如果判斷不存在不符合(4分)，請陳述理由(6分)?案例1:

2023年4月12日，審核員到某公司進行CSMS評審。公司的網(wǎng)絡安全監(jiān)控與事件響應程序規(guī)定每三個月必須對收集的網(wǎng)絡安全事態(tài)進行鑒別評估和評審。審核員抽查了公司的網(wǎng)絡安全事態(tài)鑒別評估表，發(fā)現(xiàn)產(chǎn)品研發(fā)一部李安在2023年3月收集了與其所研發(fā)的藍牙控制模塊相關的網(wǎng)絡安全事態(tài)信息，但在鑒別評估表上沒有對這些事態(tài)信息進行評審。[填空題]*_________________________________案例2：

2023年4月13，審核員到某公司進行CSMS評審。公司的供應鏈網(wǎng)絡安全管理程序中規(guī)定了應識別分布式開發(fā)活動中涉及的供應商，對其網(wǎng)絡安全能力進行評估，在審核中發(fā)現(xiàn),某部門在產(chǎn)品研發(fā)過程中