ISO/SAE21434標(biāo)準(zhǔn)培訓(xùn)考試試題第第頁ISO/SAE21434標(biāo)準(zhǔn)培訓(xùn)考試試題開卷考試，總時間為2小時；總分達(dá)到80分為合格，否則為不合格。僅總分達(dá)到60分及以上時允許補(bǔ)考一次。您的姓名：[填空題]*_________________________________您的部門：[單選題]*○產(chǎn)品工程部○項目管理部○質(zhì)量中心○制造技術(shù)部○采購中心○十堰工廠○供應(yīng)鏈＆物流部○人力資源部○其他一、選擇題（每題4分，共40分），選項中僅包括一個正確答案。1.ISO/SAE21434標(biāo)準(zhǔn)適用于:[單選題]*○A）與車聯(lián)網(wǎng)相關(guān)的云服務(wù)相關(guān)產(chǎn)品○B(yǎng)）ICT產(chǎn)品提供商○C）道路車輛電子電氣（E/E）系統(tǒng)○D）汽車行業(yè)機(jī)械零部件2.以下對ISO/SAE21434描述不正確的是:[單選題]*○A)明確了在概念、產(chǎn)品開發(fā)、生產(chǎn)、運(yùn)行、維護(hù)和退役階段的網(wǎng)絡(luò)安全風(fēng)險管理的要求○B(yǎng)）規(guī)定了與網(wǎng)絡(luò)安全相關(guān)的具體技術(shù)或解決方案○C)標(biāo)準(zhǔn)的應(yīng)用僅限于批量生產(chǎn)道路車輛(即非原型車)中與網(wǎng)絡(luò)安全相關(guān)的相關(guān)項和組件，包括售后市場和服務(wù)零部件○D）車輛外部的系統(tǒng)(例如后端服務(wù)器)不在本標(biāo)準(zhǔn)的討論范圍內(nèi)3.對于組織層面的網(wǎng)絡(luò)安全管理，說法不正確的是:[單選題]*○A）為支持網(wǎng)絡(luò)安全工程，組織實施網(wǎng)絡(luò)安全管理體系○B(yǎng)）組織提供解決網(wǎng)絡(luò)安全問題所需的資源可以是負(fù)責(zé)網(wǎng)絡(luò)安全風(fēng)險管理、開發(fā)和事件管理的人員○C）信息技術(shù)安全、功能安全和隱私是與與網(wǎng)絡(luò)安全相關(guān)或與有相互作用的學(xué)科○D）網(wǎng)絡(luò)安全管理體系的實施如何整合到現(xiàn)有過程中不是ISO/SAE21434關(guān)注的重點4.下列哪個屬于強(qiáng)大的網(wǎng)絡(luò)安全文化:[單選題]*○A）網(wǎng)絡(luò)安全和功能安全享有最高優(yōu)先級○B(yǎng)）不考慮具體需求，采取不恰當(dāng)且非常嚴(yán)格地強(qiáng)制要求遵守網(wǎng)絡(luò)安全○C）對網(wǎng)絡(luò)安全的消極態(tài)度，例如嚴(yán)重依賴于開發(fā)后期的測試○D）管理層只有在生產(chǎn)、現(xiàn)場發(fā)生網(wǎng)絡(luò)安全事件，或媒體上對競爭對手產(chǎn)品時有大量關(guān)注時才會做出反應(yīng)5.組織應(yīng)建立并維護(hù)持續(xù)改進(jìn)過程。以下不屬于持續(xù)改進(jìn)的是:[單選題]*○A）修正在體系審核過程中發(fā)現(xiàn)的不符合點○B(yǎng))以往經(jīng)驗的學(xué)習(xí)，包括通過網(wǎng)絡(luò)安全監(jiān)測，匯總網(wǎng)絡(luò)安全信息○C）向相關(guān)人員傳達(dá)網(wǎng)絡(luò)安全經(jīng)驗教訓(xùn)○D）定期根據(jù)ISO/SAE21434標(biāo)準(zhǔn)要求組織規(guī)則和過程的充分性6.質(zhì)量管理體系的建立和維護(hù)對于網(wǎng)絡(luò)安全工程實施非常重要，包括:[單選題]*○A）需求管理，變更管理，配置管理以及文檔管理○B(yǎng)）內(nèi)審和管理評審○C）生產(chǎn)管理○D）糾正和糾正措施7.關(guān)于具體項目中網(wǎng)絡(luò)安全活動的責(zé)任，說法不正確的是:[單選題]*○A）應(yīng)分配、溝通能夠?qū)崿F(xiàn)和維護(hù)網(wǎng)絡(luò)安全的責(zé)任，以及相應(yīng)的組織權(quán)限○B(yǎng)）責(zé)任不可以轉(zhuǎn)移○C）相應(yīng)網(wǎng)絡(luò)安全活動的責(zé)任應(yīng)在網(wǎng)絡(luò)安全計劃中包括○D）規(guī)劃和執(zhí)行網(wǎng)絡(luò)安全評估的人員應(yīng)保持獨(dú)立8.關(guān)于裁剪，說法不正確的是[單選題]*○A）在基于項目的網(wǎng)絡(luò)安全管理中，可以裁剪網(wǎng)絡(luò)安全活動○B(yǎng)）如果網(wǎng)絡(luò)安全活動被裁剪，則應(yīng)提供理由○C）網(wǎng)絡(luò)安全活動被裁剪的理由應(yīng)進(jìn)行獨(dú)立評審○D）在供應(yīng)鏈的協(xié)作中，網(wǎng)絡(luò)安全活動的分布可能導(dǎo)致共同裁剪9.在基于項目的網(wǎng)絡(luò)安全管理中，相關(guān)項或組件面向開發(fā)后階段的發(fā)布，應(yīng)滿足的條件不包括:[單選題]*○A）網(wǎng)絡(luò)安全檔案中提供的網(wǎng)絡(luò)安全論據(jù)令人信服○B(yǎng)）適用時，網(wǎng)絡(luò)安全檔案已由網(wǎng)絡(luò)安全評估確認(rèn)○C）是否定義并維護(hù)觸發(fā)器○D）開發(fā)后階段的網(wǎng)絡(luò)安全需求已被接受10.以下哪一項關(guān)于網(wǎng)絡(luò)安全事態(tài)說法是正確的:[單選題]*○A）應(yīng)評估網(wǎng)絡(luò)安全事態(tài)以識別相關(guān)項或組件中的脆弱性○B(yǎng)）在網(wǎng)絡(luò)安全事態(tài)評估過程中，應(yīng)為未被確定為漏洞的脆弱性提供理由○C）應(yīng)對相應(yīng)的網(wǎng)絡(luò)安全風(fēng)險進(jìn)行評估和處理，確保未遺留不合理的風(fēng)險○D）根據(jù)風(fēng)險處理決定是否需要網(wǎng)絡(luò)安全事件響應(yīng)二、判斷題（每題2分，共10分）。請選擇一個答案。11.在定義網(wǎng)絡(luò)安全目標(biāo)時，應(yīng)明確防止在生產(chǎn)過程中未經(jīng)授權(quán)的更改的網(wǎng)絡(luò)安全控制措施[單選題]*○A、正確○B(yǎng)、錯誤12.在制定網(wǎng)絡(luò)安全事件響應(yīng)計劃時，應(yīng)包括確定進(jìn)展的方法[單選題]*○A、正確○B(yǎng)、錯誤13.車輛內(nèi)的更新以及與更新有關(guān)的能力應(yīng)按照ISO/SAE21434的規(guī)定進(jìn)行開發(fā)[單選題]*○A、正確○B(yǎng)、錯誤14.應(yīng)驗證已定義的網(wǎng)絡(luò)安全規(guī)范，以確保其完整性、正確性以及與更高層級抽象架構(gòu)的網(wǎng)絡(luò)安全規(guī)范的一致性[單選題]*○A、正確○B(yǎng)、錯誤15.網(wǎng)絡(luò)安全聲明(Cybersecurityclaims)必須用于網(wǎng)絡(luò)安全監(jiān)控。[單選題]*○A、正確○B(yǎng)、錯誤三、簡答題（每題10分，共50分）。請把您的闡述寫在對應(yīng)的空白區(qū)域內(nèi)。16.請簡單描述組織內(nèi)部進(jìn)行審核的過程，以及所依據(jù)的審核準(zhǔn)則有哪些。[填空題]*_________________________________17.請簡單描述在進(jìn)行“相關(guān)項定義”時應(yīng)描述哪些信息，并給出TARA的過程描述。[填空題]*_________________________________18.假設(shè)您所在的公司準(zhǔn)備在2024年研發(fā)一款通用型的汽車MCU芯片，并符合ISO/SAE21434標(biāo)準(zhǔn)的要求,在立項時任命您作為本項目的網(wǎng)絡(luò)安全負(fù)責(zé)人，您將如何制定本項目的網(wǎng)絡(luò)安全計劃。[填空題]*_________________________________19.在定義網(wǎng)絡(luò)安全規(guī)范時，應(yīng)考慮哪些維度?應(yīng)使用哪些方法并從哪些維度驗證已定義的網(wǎng)絡(luò)安全規(guī)范?[填空題]*_________________________________20.請根據(jù)案例描述，判斷是否存在不符合(2分)，如果存在，請指出不符合事實(4分)，不符合ISO/SAE21434:2021標(biāo)準(zhǔn)的條款編號及內(nèi)容(4分);如果判斷不存在不符合(4分)，請陳述理由(6分)?案例1:

2023年4月12日，審核員到某公司進(jìn)行CSMS評審。公司的網(wǎng)絡(luò)安全監(jiān)控與事件響應(yīng)程序規(guī)定每三個月必須對收集的網(wǎng)絡(luò)安全事態(tài)進(jìn)行鑒別評估和評審。審核員抽查了公司的網(wǎng)絡(luò)安全事態(tài)鑒別評估表，發(fā)現(xiàn)產(chǎn)品研發(fā)一部李安在2023年3月收集了與其所研發(fā)的藍(lán)牙控制模塊相關(guān)的網(wǎng)絡(luò)安全事態(tài)信息，但在鑒別評估表上沒有對這些事態(tài)信息進(jìn)行評審。[填空題]*_________________________________案例2：

2023年4月13，審核員到某公司進(jìn)行CSMS評審。公司的供應(yīng)鏈網(wǎng)絡(luò)安全管理程序中規(guī)定了應(yīng)識別分布式開發(fā)活動中涉及的供應(yīng)商，對其網(wǎng)絡(luò)安全能力進(jìn)行評估，在審核中發(fā)現(xiàn),某部門在產(chǎn)品研發(fā)過程中