供应链安全培训教材开发考核试卷及答案

供应链安全培训教材开发考核试卷及答案一、单项选择题（每题2分，共20分）1.2023年欧盟《供应链尽职调查指令》要求受规制企业最晚在何时完成首份风险基线评估报告？A.2025年6月30日 B.2026年12月31日 C.2027年3月15日 D.2024年9月1日答案：B2.在NISTSP800161r1框架中，对“关键供应商”进行持续监控的推荐频率是：A.每季度一次 B.每半年一次 C.每年一次 D.视风险评级动态调整答案：D3.2022年Log4j事件后，Apache基金会发布的最终修复版本号是：A.2.17.0 B.2.17.1 C.2.18.0 D.2.19.1答案：B4.根据ISO28000:2022，供应链安全管理体系的“威胁评估”输出必须包含：A.财务损失金额 B.威胁主体动机 C.风险所有者签字 D.风险评分矩阵答案：D5.中国《数据出境安全评估办法》规定，个人信息出境超过多少条需申报安全评估？A.十万条 B.五十万条 C.一百万条 D.十万条且含敏感个人信息答案：D6.在半导体行业，SEMIS2指南对化学品供应商的“双源认证”周期为：A.12个月 B.18个月 C.24个月 D.36个月答案：C7.2021年美国TSA对管道运营商发布的安全指令中，要求CISO在事件发生后多少小时内向国土安全部报告？A.6 B.12 C.24 D.48答案：B8.根据《药品供应链安全法》（DSCSA），美国制药企业需在何时实现“可互操作电子追溯”？A.2023年11月27日 B.2024年11月27日 C.2025年11月27日 D.已无限期推迟答案：B9.在云计算共享责任模型中，下列哪项安全控制由云服务商完全负责？A.虚拟机补丁 B.对象存储物理安全 C.客户应用程序代码 D.IAM策略配置答案：B10.2020年SolarWinds事件中被植入后门的Orion版本号是：A.2019.4.5220 B.2020.2.5300 C.2020.2.5480 D.2021.1.6000答案：C二、多项选择题（每题3分，共30分，多选少选均不得分）11.下列哪些属于《全球运输安全规范》（ISO/PAS20858）定义的“供应链中断风险”？A.港口罢工 B.海盗袭击 C.海关系统宕机 D.汇率波动 E.冷藏集装箱制冷剂泄漏答案：A、B、C、E12.在开发供应链安全培训教材时，需遵循的成人学习原则包括：A.即时应用 B.自我导向 C.经验整合 D.强制灌输 E.问题中心答案：A、B、C、E13.根据OECD《负责任商业行为尽责管理指南》，企业应优先识别“高风险供应商”的指标有：A.地理位置位于冲突影响区 B.使用劳务派遣比例>30% C.过去三年收到环保罚单 D.客户集中度>80% E.缺乏第三方审计报告答案：A、C、E14.在软件物料清单（SBOM）中，必须字段包括：A.组件名称 B.供应商名称 C.哈希校验值 D.许可证类型 E.组件生命周期状态答案：A、B、C、D15.下列哪些攻击向量曾出现在针对工业控制供应链的真实案例？A.固件植入Rakos木马 B.PLC编程软件捆绑后门 C.篡改DockerHub镜像 D.伪造Jenkins插件 E.恶意Python包上传PyPI答案：A、B、C、D、E16.在开发面向第三级供应商的培训教材时，应重点嵌入：A.当地语言案例 B.合规处罚金额 C.匿名举报渠道 D.技术替代方案 E.母公司免责条款答案：A、B、C、D17.根据《网络安全产业高质量发展三年行动计划（20212023年）》，我国重点支持的供应链安全关键技术包括：A.可信计算 B.拟态防御 C.量子加密 D.动态隔离 E.区块链溯源答案：A、B、D、E18.在航空制造业，AS9100D标准对假冒件控制要求包括：A.供应商年度防伪培训 B.来料100%光谱分析 C.可疑件隔离区双人双锁 D.客户通知时限24h E.5年追溯记录答案：A、C、D、E19.下列哪些属于《个人信息保护法》规定的“敏感个人信息”？A.精准定位轨迹 B.14岁以下儿童信息 C.医疗健康记录 D.金融账户余额 E.婚史答案：A、B、C、E20.在开发供应链安全培训教材的“情景模拟”章节时，可采用的交互技术有：A.分支叙事 B.VR伪造工厂漫游 C.实时投票决策 D.红蓝对抗桌游 E.区块链积分激励答案：A、B、C、D三、判断题（每题1分，共10分，正确打“√”，错误打“×”）21.根据《关键信息基础设施安全保护条例》，三级等保系统即可自动视为关键信息基础设施。答案：×22.2023年新版《海关AEO高级认证企业标准》将“供应链安全培训”列为强制条款。答案：√23.在SBOM生成工具中，CycloneDX格式比SPDX更适用于描述固件层级依赖。答案：√24.根据IATA《锂电池运输规则》，培训教材中必须包含“热失控视频”方可通过审核。答案：×25.美国《芯片与科学法案》要求接受补贴的半导体企业10年内不得在中国扩建先进制程产能。答案：√26.在开发面向非洲供应商的教材时，可将“勒索软件保险”作为优先推荐风险转移手段。答案：×27.根据《网络安全审查办法》，掌握100万用户个人信息的平台赴国外上市必须申报审查。答案：√28.ISO22301业务连续性管理体系要求“最低运营水平”必须在演练中实际达到，而非纸面验证。答案：√29.在药品冷链运输培训中，使用PDF加密即可满足FDA21CFRPart11电子记录要求。答案：×30.2024年1月起，欧盟CBAM（碳边境调节机制）将要求进口商提交第三方验证的嵌入式碳排放数据。答案：√四、填空题（每空2分，共20分）31.2023年11月，中国海关总署发布____号公告，正式将“供应链安全培训记录”纳入AEO企业年度自查报告。答案：17732.在开发培训教材时，采用____模型可量化学员完成课程后的行为转化率。答案：Kirkpatrick四层次33.根据《工业控制系统网络安全防护指南》，工控设备默认口令必须在____小时内修改。答案：2434.美国FDA要求食品企业建立FSMA《食品安全现代化法》供应链计划，其中“____”是识别危害的第一步。答案：危害分析35.在航空领域，假冒件英文缩写为____。答案：SuspectedUnapprovedParts（SUP）36.根据《数据安全法》，重要数据出境安全评估的重点是数据____、规模、范围、种类及敏感程度。答案：级别37.在开发面向东南亚供应商的教材时，应优先采用____语制作双语版本，以覆盖最大受众。答案：英语38.根据《网络安全等级保护2.0》，云计算扩展要求中，镜像服务必须支持____启动，确保可信根。答案：安全39.2023年，____组织发布了首个《开源软件供应链安全成熟度模型》，提供五级评估路径。答案：OpenSSF40.在培训教材的“危机沟通”章节，建议采用____结构撰写新闻稿，以保证信息传递效率。答案：金字塔五、简答题（每题10分，共30分）41.结合2022年俄乌冲突导致的氖气供应中断案例，阐述如何在培训教材中设计“地缘政治风险”模块，要求列出学习目标、案例数据、互动环节及评估方式。答案：学习目标：①识别地缘政治风险信号；②掌握多源采购策略；③学会使用情景规划工具。案例数据：乌克兰占全球70%半导体级氖气，2022年3月价格暴涨900%，台积电库存仅支撑6周。互动环节：分组扮演采购经理，使用“四象限博弈板”模拟冲突升级，决策是否提前锁定中东替代源。评估方式：①在线测验10题，≥80分通过；②提交500字风险备忘录，由讲师用Rubric打分；③两周后回访，统计学员所在企业新增第二源比例，目标≥30%。42.说明如何在培训教材中嵌入“软件物料清单（SBOM）实战演练”，要求给出工具链、数据源、输出格式及合规对标。答案：工具链：Syft生成+Grype漏洞扫描+Sigstore签名+CDXWebViewer可视化。数据源：GitHub公开项目、GitLab私有仓库、Nexus组件库。输出格式：CycloneDXJSON，含组件名、版本、PURL、哈希、许可证、漏洞CVE。合规对标：FDA预发布指南《CybersecurityinMedicalDevices》第4.3节、欧盟CRA提案AnnexIII、中国《医疗器械网络安全注册审查指南（2022修订）》。演练步骤：①学员导入示例医疗固件镜像；②生成SBOM；③Grype扫描发现Log4j2.14.1；④使用COSign附加签名；⑤上传至HWVendorPortal，模拟FDA审计。评分标准：SBOM字段完整度≥95%、高危漏洞清零时间<30min、签名验证通过。43.针对第三级中小型金属零件供应商，设计一套“低成本快速合规”培训包，包含课时分配、教具清单、考核方案及持续改进机制。答案：课时分配：共8小时，线上4h（微课+测验）+线下4h（沙盘+考试）。教具清单：①A3风险地图海报50张；②磁贴危害图标200枚；③“红牌”即时处罚卡；④成本<50美元的树莓派蜜罐1套；⑤双语图解手册30页。考核方案：①线上测验20题，70分及格；②线下沙盘找出10个隐藏风险点，8个及格；③签署《合规承诺书》回执。持续改进：①每季度邮件推送最新法规摘要；②建立微信群，每月“风险照片打卡”，点赞前3名获免费复审；③年度飞行检查，使用树莓派蜜罐验证网络隔离，不合格者列入“灰名单”，连续两次灰名即启动退出。六、案例分析题（每题20分，共40分）44.案例背景：2023年7月，某欧洲风电整机商发现其中国叶片供应商A在未经审核的情况下，将关键环氧胶生产外包给次级供应商B。B使用假冒进口树脂，导致叶片在疲劳测试中提前开裂。事件曝光后，整机商股价两日蒸发12%，并面临客户巨额索赔。问题：（1）列出该事件触发的四条主要合规条款；（2）设计一份面向中国叶片供应链的“环氧材料溯源”培训模块，要求给出学习目标、关键控制点、实操演练、评估指标；（3）说明如何利用区块链实现环氧树脂“一物一码”溯源，并给出链上数据结构示例。答案：（1）合规条款：①欧盟CRA提案第15条“关键产品安全要求”；②中国《产品质量法》第26条“生产者质量义务”；③IECREOD501风力发电机组部件认证规则；④客户合同中的“未经书面同意不得转包”条款。（2）培训模块：学习目标：①识别环氧材料合规标签；②掌握“四对照”验收（合同、COA、SDS、检测报告）；③学会使用便携式拉曼光谱仪快速筛伪。关键控制点：来料批号→罐区温控→真空脱泡→固化曲线→无损检测。实操演练：学员分组抽取10个环氧桶，使用拉曼仪比对标准谱图，找出2个掺假样。评估指标：掺假检出率100%、操作时间<10min/桶、记录表单填写完整度≥98%。（3）区块链方案：采用HyperledgerFabric，通道内节点包括整机商、叶片厂、环氧厂、第三方检测机构、保险公司。链上数据结构：{"epoxyID":"EP202407001","manufacturer":"HexionShanghai","batchHash":"a1b2c3…","testReportURI":"ipfs://QmXxYy…","timestamp":1720324800,"signature":"0x8f9a…"}通过智能合约自动比对哈希，若与出厂报告不符即触发预警，并冻结链上支付。45.案例背景：2024年2月，一家全球疫苗冷链承运商C的子公司D在印度孟买机场使用未经校准的温控箱，导致2万剂HPV疫苗失活。调查发现D为节省成本，删减了“预运输校准”节点，且未将温度记录仪数据实时上传云端。该事件被WHO列入PQ（资格预审）黄牌名单，母公司C被取消三个月投标资格。问题：（1）从“培训教材开发”角度，分析该事件暴露的三大知识缺口；（2）设计一节“疫苗冷链校准”VR模拟课程，给出场景脚本、交互节点、数据埋点及学习分析算法；（3）说明如何利用“数字孪生+AI预测”技术，将事后校准改为事前预警，并给出模型输入输出示例。答案：（1）知识缺口：①校准SOP未本地化翻译，印地语员工理解偏差；②未建立“校准失败”应急剧本；③缺乏“温度记录仪SIM卡欠费”风险意识。（2）VR课程：场景脚本：孟买机场37℃机坪，学员扮演质量员，需在15min内完成校准、封箱、数据上传。交互节点：①扫描温控箱QR码→系统提示“未校准”；②选择校准气体，错误选择CO₂将触发红灯；③拧动压力阀至1.5bar，超扭力即爆裂；④上传数据