2025年医院处方记录安全试题库及答案

2025年医院处方记录安全试题库及答案一、单项选择题（每题2分，共40分）1.根据2024年修订的《处方管理办法》，门诊电子处方记录的最低存储期限为（）A.3年B.5年C.10年D.永久保存答案：B2.以下哪项不属于处方记录中的“必要信息”？（）A.患者身份证号B.医师电子签名C.药品通用名称D.收费金额答案：D3.医院信息系统中，处方记录访问日志应至少保存（）A.1年B.3年C.5年D.10年答案：C4.处方记录数据脱敏处理时，“患者姓名”的合规脱敏方式是（）A.完全删除B.保留姓氏+“”（如张）C.替换为随机字符D.仅保留首字母答案：B5.某医师因诊疗需要调取患者3年前的处方记录，系统提示“无权限访问”，最可能的原因是（）A.系统故障B.该医师未完成年度安全培训C.处方记录已归档至离线存储D.权限设置未覆盖历史数据查询答案：D6.依据《个人信息保护法》，医院向第三方机构提供处方记录用于科研时，必须取得（）A.医院伦理委员会批准B.患者书面同意（明确用途、范围）C.卫生健康主管部门备案D.数据脱敏处理即可答案：B7.电子处方签名的有效性需满足的核心条件是（）A.医师手写签名扫描件B.经CA认证的数字签名C.科室负责人复核确认D.信息系统自动生成时间戳答案：B8.处方记录存储介质发生物理损坏时，优先启动的应急措施是（）A.向公安机关报案B.使用备份数据恢复C.暂停处方开具业务D.通知患者补打处方答案：B9.以下哪类人员无需纳入处方记录安全培训范围？（）A.实习药师B.后勤维修人员C.信息系统运维工程师D.医务科管理人员答案：B10.处方记录加密传输应采用的最低安全等级是（）A.SHA-1哈希B.AES-128C.RSA-1024D.SM4国密算法答案：D（注：2025年起医疗机构强制使用国产密码算法）11.某医院发现处方系统存在SQL注入漏洞，正确的处置流程是（）A.立即关闭系统→修复漏洞→验证安全→恢复使用B.记录漏洞→上报信息科→等待厂商修复C.继续使用→定期备份数据→月底统一修复D.限制访问权限→同步修复→通知相关人员答案：A12.处方记录中的“诊断信息”属于（）A.一般信息B.敏感个人信息C.公共卫生信息D.可匿名化信息答案：B13.医院与互联网医院平台对接时，处方记录传输的最小必要数据不包括（）A.患者姓名B.药品用法用量C.医师执业证书编号D.患者联系方式答案：D14.处方调剂环节中，药师对电子处方的核对应重点关注（）A.患者年龄与药品禁忌的匹配性B.医师手写签名的清晰度C.处方打印纸张的规格D.系统时间与处方时间的一致性答案：A15.依据《数据安全法》，医院未履行处方记录安全保护义务导致数据泄露，最轻的行政处罚是（）A.警告并限期整改B.处50万元以下罚款C.暂停业务1个月D.吊销《医疗机构执业许可证》答案：A16.处方记录归档时，纸质处方与电子处方的关联标识应为（）A.患者姓名+就诊日期B.唯一就诊号（如门诊号、住院号）C.医师工号+处方编号D.药品通用名首字母缩写答案：B17.处方记录安全审计的核心内容是（）A.统计处方数量B.追踪访问行为（谁、何时、访问了什么）C.检查打印机耗材使用情况D.评估医师处方合理性答案：B18.患者申请复制本人处方记录时，医院应在（）个工作日内提供A.1B.3C.5D.7答案：C19.处方记录存储环境的温湿度要求是（）A.温度18-22℃，湿度35-45%B.温度20-25℃，湿度40-60%C.温度15-18℃，湿度20-30%D.无特殊要求，常温即可答案：A（依据《信息系统物理环境安全规范》GB/T21028-2023）20.以下哪项不属于处方记录安全事件？（）A.药师误将处方打印给无关患者B.系统自动备份时覆盖旧数据C.黑客攻击导致处方数据库瘫痪D.实习医师通过他人账号查询处方答案：B二、多项选择题（每题3分，共45分）1.处方记录安全管理的责任主体包括（）A.医务科（负责处方质量与权限管理）B.信息科（负责系统安全与数据保护）C.药学部（负责调剂环节记录完整性）D.质控办（负责安全制度落实监督）答案：ABCD2.处方记录数据泄露的常见途径有（）A.内部人员违规访问B.系统漏洞被攻击C.存储介质丢失（如移动硬盘）D.患者自行拍照传播答案：ABC3.电子处方的合法性要件包括（）A.符合《电子签名法》的可靠电子签名B.与纸质处方具有同等法律效力C.包含完整的诊疗信息（诊断、用药）D.经药师审核并确认答案：ABCD4.处方记录安全培训的内容应包括（）A.相关法律法规（如《个人信息保护法》）B.系统操作规范（如权限使用、日志查看）C.安全事件应急处置流程D.患者隐私保护的伦理要求答案：ABCD5.处方记录存储应遵循的原则有（）A.本地存储与异地备份结合B.严格区分在线存储（常用）与离线存储（归档）C.加密存储（包括元数据）D.定期检测存储介质的完整性答案：ABCD6.以下哪些行为违反处方记录安全规定？（）A.医师使用自己账号为实习医生查询处方B.信息科工程师调试系统时导出全部处方数据C.药学部将1年内的处方记录转移至云存储D.患者凭身份证复印件申请复制处方答案：AB7.处方记录安全审计的关键指标包括（）A.异常访问次数（如非工作时间访问）B.未授权访问尝试次数C.数据修改操作记录（修改人、时间、内容）D.存储介质故障率答案：ABC8.处方记录脱敏的技术方法包括（）A.匿名化（去除可识别信息）B.去标识化（保留部分信息但无法关联到个人）C.加密（对称/非对称加密）D.泛化（如将具体年龄改为年龄段）答案：ABD（注：加密属于保护手段，非脱敏）9.医院与外部机构共享处方记录时，需签订的协议应包含（）A.数据使用范围与期限B.安全保护责任划分C.数据泄露的赔偿条款D.数据返还或销毁方式答案：ABCD10.处方记录应急响应预案应包括（）A.事件分级标准（如一般、较大、重大）B.响应流程（报告、阻断、评估、处置）C.应急联络人名单（信息科、法务、公关）D.事后整改措施（如漏洞修复、培训加强）答案：ABCD11.纸质处方的安全管理要求有（）A.专柜上锁保存（钥匙由专人管理）B.借阅需登记（借阅人、时间、用途）C.过期销毁需双人监销并记录D.扫描为电子件后可立即销毁原纸质件答案：ABC12.处方记录中的“患者个人信息”包括（）A.姓名、性别、年龄B.联系方式（电话、地址）C.身份证号、医保卡号D.既往病史、过敏史答案：ABC（注：D属于诊疗信息，非个人信息但属敏感数据）13.以下哪些情况可豁免患者同意直接使用处方记录？（）A.突发公共卫生事件（如传染病疫情）B.药品不良反应监测C.医疗质量安全事件调查D.商业保险理赔（患者已授权保险机构）答案：ABC14.处方记录系统的访问控制应实现（）A.角色分离（如医师、药师、管理员权限不同）B.动态权限调整（如岗位变动时及时收回权限）C.登录认证（双因素认证：账号+验证码/指纹）D.会话超时自动退出（如30分钟无操作）答案：ABCD15.处方记录安全风险评估的内容包括（）A.系统漏洞风险（如未修复的补丁）B.人员操作风险（如违规共享账号）C.外部攻击风险（如勒索软件威胁）D.存储介质风险（如硬盘老化）答案：ABCD三、判断题（每题2分，共30分）1.电子处方与纸质处方具有同等法律效力，因此无需保存纸质处方。（）答案：×（注：需根据医院规定或患者要求保存纸质件，部分情形仍需纸质存档）2.实习医师经带教老师授权后，可使用带教老师账号查询处方记录。（）答案：×（注：禁止账号共享，需为实习医师单独分配有限权限账号）3.处方记录中的患者联系方式可用于医院营销活动（如药品推广），无需额外授权。（）答案：×（注：超出诊疗必要范围，需单独取得患者同意）4.信息科工程师因系统维护需要，可临时访问任意患者的处方记录。（）答案：×（注：需遵循“最小权限原则”，仅访问必要数据并记录）5.处方记录泄露后，医院只需向卫生健康主管部门报告，无需通知患者。（）答案：×（注：需及时通知受影响患者，并告知补救措施）6.处方记录加密存储时，只需加密正文内容，元数据（如患者姓名、时间）可明文存储。（）答案：×（注：元数据也可能泄露隐私，需同步加密）7.医院将处方记录备份至第三方云服务商时，需确保云服务商通过《个人信息保护认证》。（）答案：√8.患者死亡后，其处方记录可立即销毁。（）答案：×（注：需按存储期限要求保存，一般至少5年）9.处方记录安全培训只需针对新入职人员，在职人员无需重复培训。（）答案：×（注：需定期培训，每年至少1次）10.处方系统日志中仅需记录成功访问行为，失败尝试无需记录。（）答案：×（注：失败访问（如密码错误）是重要安全事件线索，需记录）11.纸质处方销毁时，可采用碎纸机粉碎后直接丢弃。（）答案：×（注：需确保无法复原，粉碎后应集中回收或焚烧）12.处方记录用于科研时，只要进行匿名化处理，无需取得患者同意。（）答案：√（注：匿名化数据不涉及个人信息，可豁免同意）13.医师调离原岗位后，其处方查询权限应在3个工作日内收回。（）答案：√14.处方记录存储介质的物理安全（如防火、防水）属于信息科职责，与药学部无关。（）答案：×（注：纸质处方由药学部保存，需共同承担物理安全责任）15.处方系统升级时，无需对历史数据进行迁移验证，直接覆盖即可。（）答案：×（注：需验证数据完整性和可访问性，确保迁移后无丢失）四、简答题（每题5分，共50分）1.简述处方记录安全管理的“三同步”原则。答案：处方记录应与诊疗活动同步生成、同步存储、同步归档。即医师开具处方时，系统自动生成电子记录；记录实时存储至安全数据库；诊疗结束后，系统自动触发归档流程（区分在线/离线存储），确保全生命周期可追溯。2.列举处方记录访问控制的“最小权限原则”具体要求。答案：①根据岗位角色分配权限（如医师仅能访问自己诊疗患者的记录，药师仅能核对、调剂，管理员仅能维护系统）；②权限范围严格限定于工作必要（如禁止医师查询其他科室患者记录）；③权限需动态调整（岗位变动时及时收回/新增权限）；④禁止默认全权限账号（如“超级管理员”需分级管理）。3.电子处方记录的“可靠电子签名”需满足哪些条件？答案：①电子签名制作数据仅由签名人控制；②签署后对电子签名的任何改动能够被发现；③签署后对数据电文内容和形式的任何改动能够被发现；④通过依法设立的电子认证服务机构（CA机构）认证，确保签名的真实性和不可抵赖性。4.处方记录泄露事件的分级标准是什么？答案：①一般事件：泄露患者数≤50人，未造成严重后果；②较大事件：泄露患者数51-200人，或造成患者隐私被恶意传播；③重大事件：泄露患者数＞200人，或导致患者人身伤害、财产损失，或引发社会公共事件。5.简述处方记录存储介质的管理要求。答案：①在线存储（如数据库服务器）：采用冗余阵列（RAID）、加密存储，定期备份至异地；②离线存储（如磁带、光盘）：标注存储内容、时间、责任人，专柜上锁，环境满足温湿度（18-22℃，35-45%湿度）、防火、防磁要求；③移动存储介质（如U盘）：禁止用于处方记录存储，特殊情况需审批并加密；④存储介质淘汰时：通过专业工具彻底擦除数据（如覆盖3次以上），无法擦除的物理销毁并记录。6.患者申请复制处方记录时，医院应如何处理？答案：①核实身份（患者本人需出示身份证，委托他人需委托书+双方身份证）；②确认复制范围（仅患者本人记录，不包含他人信息）；③提供复制件（纸质或电子格式，需加盖医院公章或电子签章）；④记录复制时间、申请人、内容，并留存备案；⑤如涉及敏感信息（如精神类药品），需提醒患者妥善保管。7.处方记录安全审计的主要内容有哪些？答案：①访问日志审计：谁（账号/人员）、何时（时间戳）、访问了什么（患者ID/处方编号）、操作类型（查询/修改/导出）；②异常行为审计：非工作时间访问、同一账号多地登录、高频次查询不同患者记录；③数据修改审计：修改前/后内容对比，修改原因备注；④系统漏洞审计：未修复的安全补丁、弱口令账号、未授权的第三方接口。8.医院与互联网医院平台对接时，处方记录传输的安全要求有哪些？答案：①采用国密算法（如SM4）加密传输，确保传输过程不可破译；②建立安全通道（如VPN），防止中间人攻击；③验证接收方身份（数字证书认证），避免伪冒平台；④限制传输数据范围（仅必要信息：患者姓名、诊断、药品、用法用量）；⑤记录传输日志（时间、发送方、接收方、数据量），并留存至少5年。9.简述处方记录应急响应的“黄金48小时”处置流程。答案：①0-2小时：发现泄露后立即阻断系统访问（如关闭接口、冻结账号），启动应急预案，通知信息科、法务部、医务科；②2-24小时：评估泄露范围（患者数量、信息类型），向卫生健康主管部门报告（24小时内），联系CA机构验证系统安全；③24-48小时：通知受影响患者（通过短信、电话，说明泄露内容及补救措施），同步警方（如涉及刑事犯罪），开展内部调查（锁定责任人）；④48小时后：发布公开声明（如有必要），修复系统漏洞，加强员工培训，提交整改报告。10.如何区分“去标识化”与“匿名化”处方记录？答案：①去标识化：通过技术手段移除或替换个人标识（如姓名→“患者123”），但仍可通过其他信息（如年龄、疾病史）关联到特定个人，属于个人信息范畴，使用时需遵守《个人信息保护法》；②匿名化：彻底消除所有可识别信息，无法通过任何方式关联到特定个人，不属于个人信息，使用时无需取得患者同意。五、案例分析题（每题15分，共75分）案例1：2025年3月，某三甲医院药学部发现，一名实习药师在轮训期间使用带教药师账号，查询了200余名患者的处方记录（非其负责的患者），并将部分记录通过私人邮箱发送至个人电脑。问题：（1）分析该事件暴露的安全隐患；（2）提出整改措施。答案：（1）安全隐患：①账号管理漏洞（允许实习药师使用带教老师账号，未分配独立权限账号）；②权限控制缺失（实习药师账号被赋予超出必要的查询权限）；③日志审计未覆盖（未及时发现非工作时间/非职责范围的查询行为）；④员工安全意识不足（实习药师未意识到违规查询的法律风险）；⑤数据外发管控缺失（未限制系统向私人邮箱发送数据）。（2）整改措施：①为实习人员分配独立账号，权限限定为“仅查看自己负责患者的记录”；②启用双因素认证（账号+动态验证码），禁止向私人邮箱/移动设备导出处方数据；③加强日志监控（设置预警规则：如单日查询超50条非职责患者记录自动报警）；④开展全员安全培训（重点强调账号使用规范、数据外发限制）；⑤修订《实习人员管理办法》，明确违规查询的处罚条款（如终止实习、纳入行业黑名单）。案例2：某社区医院信息系统遭遇勒索软件攻击，处方数据库被加密，攻击者要求支付5比特币解密。问题：（1）医院应如何应对？（2）如何预防此类事件再次发生？答案：（1）应对措施：①立即断开系统与互联网连接（防止病毒扩散），启用离线备份恢复数据（优先恢复近7天的处方记录）；②不支付赎金（避免助长攻击行为），联系公安机关网安部门介入调查；③向卫生健康主管部门报告事件（24小时内），说明影响范围（如是否影响患者取药）；④临时切换至纸质处方流程（由医师手写，药师手工登记），确保诊疗正常进行；⑤修复系统漏洞（安装最新补丁，关闭不必要的端口），更换所有账号密码（尤其是管理员账号）。（2）预防措施：①定期备份处方数据（每日增量备份+每周全量备份），备份存储于离线介质（如专用硬盘）并物理隔离；②部署网络安全防护设备（如入侵检测系统、防火墙），开启勒索软件专项防御功能；③对员工进行安全培训（如不点击陌生邮件链接、不连接未知WiFi）；④建立“白名单”制度（仅允许授权设备/软件访问处方系统）；⑤与第三方安全服务商签订监测协议（24小时监控异常流量）。案例3：患者张某到医院投诉，称其在某医药电商平台收到一条推送：“根据您2023年的处方记录，推荐购买XX降压药”。经查，该平台通过医院合作的健康管理公司获取了张某的处方信息。问题：（1）该事件中存在哪些违规行为？（2）医院应承担哪些责任？答案：（1）违规行为：①健康管理公司超出约定用途使用处方数据（原合作目的为“健康随访”，实际用于商业推广）；②未取得患者张某的明确同意（《个人信息保护法》要求，使用个人信息需“最小必要”且“明确同意”）；③医院未对合作方的数据使用行为进行监督（未要求提供数据使用日志）；④医药电商平台未验证数据来源合法性（直接使用未授权的患者信息）。（2）医院责任：①未尽到数据共享的监管义务（需对合作方的安全措施、使用范围进行持续评估）；②可能面临行政处罚（根据《数据安全法》，可处500万元以下罚款或上一年度营业额5%以下罚款）；③需向患者张某道歉并赔偿（如因信息泄露造成损失，承担民事责任）；④需终止与健康管理公司的合作，对相关责任人（如对接的医务科员工）进行内部追责。案例4：某医院信息科工程师王某离职时，未按规定移交系统管理员账号。3个月后，医院发现处方系统日志中出现王