2025年临床试验数据管理员临床试验数据安全试题及答案

2025年临床试验数据管理员临床试验数据安全试题及答案一、单选题（每题1分，共30分。每题只有一个最佳答案，请将正确选项字母填入括号内）1.2025年新版《临床试验数据安全管理办法》将“去标识化”定义为：A.删除所有直接标识符即可B.使数据在不借助额外信息情况下无法识别特定自然人C.仅隐藏姓名与身份证号D.用哈希算法处理所有字段（答案：B）2.某国际多中心试验中，中国分中心需向FDA传输加密数据，首选加密算法为：A.DESB.3DESC.AES256GCMD.RSA1024（答案：C）3.数据管理员发现某受试者生日字段出现“18990101”，应首先：A.直接删除该记录B.在eCRF中标注“数据质疑”并发Query给研究者C.用均值填补D.报告伦理委员会（答案：B）4.2025年起，中国NMPA要求关键临床试验数据境内备份最短保存期限为：A.5年B.10年C.15年D.永久（答案：C）5.关于区块链在数据安全中的应用，下列哪项描述错误：A.可确保数据不可篡改B.智能合约可自动触发稽查C.链上可存储完整原始影像D.需配合链下加密存储（答案：C）6.数据管理员在Unix系统中执行“chmod640cdms.key”，其含义为：A.所有用户可读写B.属主读写，组内只读，其他无权限C.属主只读，组内读写D.仅属主可执行（答案：B）7.当发生数据泄露事件时，按2025年《个人信息保护法》升级版，企业须几小时内向省级以上监管部门A.2小时B.8小时C.24小时D.72小时（答案：B）8.采用假名化技术时，重新识别风险最高的场景是：A.保留受试者首字母与就诊日期B.删除所有日期信息C.将姓名替换为随机UUIDD.对所有字段进行k匿名（k≥5）（答案：A）9.数据管理员在审计轨迹中发现某用户连续三次登录失败后成功登录，下一步应：A.忽略，属正常操作B.立即冻结账户并启动安全调查C.通知CRAD.修改用户密码（答案：B）10.2025年新版GCP中，电子签名需满足：A.仅使用图形签名即可B.必须采用CA机构颁发的数字证书C.可用微信扫码确认D.手写扫描后上传（答案：B）11.数据安全风险评估中，CVSSv4.0评分≥9.0的漏洞属于：A.低风险B.中风险C.高风险D.关键风险（答案：D）12.在数据传输过程中，使用TLS1.3相比TLS1.2的主要优势是：A.支持三重DESB.减少握手延迟并移除不安全算法C.增加压缩率D.支持RSA密钥交换（答案：B）13.数据管理员发现备份磁带在运输途中丢失，其中含200例受试者去标识化影像，下一步应：A.无需通报，因已去标识化B.进行重新识别风险评估并通报申办方C.直接补录数据D.删除所有影像（答案：B）14.2025年起，国家卫健委对跨境传输健康数据实行：A.自由流动B.安全评估+认证C.禁止出境D.仅口头备案（答案：B）15.数据管理员使用SQL语句“SELECTFROMpatientsWHEREAES_DECRYPT(phone,key)LIKE‘138%’”存在的最大风险是：A.无法索引B.明文暴露在内存C.无法排序D.字段过长（答案：B）16.在零信任架构中，对CDMS系统的每一次API调用需：A.仅首次验证B.每次验证身份与上下文C.仅验证IPD.使用长连接Token（答案：B）17.数据脱敏时，若采用“日期平移±17天”策略，可能影响：A.药物暴露与不良事件因果关系判断B.性别分布C.种族比例D.身高单位（答案：A）18.2025年新版《网络安全等级保护》将临床试验平台定为：A.一级B.二级C.三级D.四级（答案：C）19.数据管理员在Linux下使用“shredn35vzcdms.tmp”命令，其目的是：A.压缩文件B.安全删除并覆盖C.加密文件D.分割文件（答案：B）20.当使用同态加密技术对CDMS数据库进行统计时，主要瓶颈是：A.无法排序B.计算开销大C.无法连接表D.不支持浮点（答案：B）21.数据管理员发现日志服务器时间比AD域控慢5分钟，应：A.手动修改日志时间B.使用NTP同步并记录偏差C.忽略D.重启服务器（答案：B）22.2025年起，对AI辅助数据清理的算法需：A.无需验证B.进行算法备案与偏差评估C.仅内部测试D.由CRA签字（答案：B）23.数据管理员在测试环境使用生产数据，必须：A.直接复制B.经过去标识化或合成数据C.仅隐藏姓名D.用base64编码（答案：B）24.数据安全中，RPO（恢复点目标）的最佳实践是：A.≤24小时B.≤15分钟C.≤1周D.≤1个月（答案：B）25.数据管理员发现某第三方统计软件偷偷访问外网，应：A.继续运行B.立即断网并启动应急响应C.关闭防火墙D.报告媒体（答案：B）26.2025年新版《人类遗传资源管理条例》实施细则要求，外方合作单位访问数据需：A.无需审批B.通过安全评估并签署出境协议C.仅口头备案D.由PI同意即可（答案：B）27.数据管理员在数据库审计中发现“SELECTFROMpatientsLIMIT1”被连续执行1000次，可能表明：A.正常调试B.数据爬取攻击C.索引优化D.备份脚本（答案：B）28.数据安全培训中，钓鱼邮件模拟测试的通过率阈值应：A.≥30%B.≥50%C.≥80%D.100%（答案：C）29.数据管理员使用“gitpush”时，误将含密钥的配置文件上传至公开仓库，应第一时间：A.删除仓库并更换所有密钥B.仅删除文件C.忽略，因已去标识化D.发邮件道歉（答案：A）30.2025年起，对CDMS系统进行渗透测试的最低频率为：A.每月B.每季度C.每半年D.每年（答案：B）二、多选题（每题2分，共20分。每题有两个或以上正确答案，多选少选均不得分）31.以下哪些属于2025年新版GCP规定的“关键数据元素”：A.受试者随机号B.药物依从性C.不良事件严重程度D.研究者签名日期E.实验室单位（答案：ABCD）32.数据安全影响评估（DSIA）必须包含：A.数据类型与敏感度B.威胁建模C.风险矩阵D.残余风险接受声明E.项目预算（答案：ABCD）33.以下哪些技术可实现数据最小化原则：A.动态脱敏B.差分隐私C.同态加密D.字段级权限控制E.数据压缩（答案：ABCD）34.数据管理员在应急响应中应执行的步骤包括：A.隔离受影响系统B.收集日志证据C.通知申办方与监管D.立即支付勒索金E.事后复盘（答案：ABCE）35.2025年起，对云原生CDMS平台的安全要求包括：A.容器镜像签名B.微服务间mTLSC.运行时行为监测D.禁止CI/CDE.基础设施即代码审计（答案：ABCE）36.以下哪些行为可能导致数据完整性违规：A.手动修改审计轨迹B.回滚数据库未记录原因C.使用未验证的脚本批量更新D.在受控文档中记录变更E.事后补签电子签名（答案：ABCE）37.数据跨境传输前需完成：A.数据分类分级B.安全评估报告C.标准合同备案D.个人信息保护认证E.申办方内部审批（答案：ABCD）38.以下哪些属于零信任核心组件：A.身份与访问管理（IAM）B.多因素认证（MFA）C.网络边界防火墙D.持续信任评估E.微分段（答案：ABDE）39.数据管理员在验证备份完整性时可使用：A.SHA256校验和B.数字签名C.人工逐条比对D.区块链锚定E.压缩率对比（答案：ABD）40.2025年新版《药物临床试验数据递交规范》要求：A.原始数据须保留变量标签B.递交数据集须加密压缩C.定义文件采用XPTv5D.须提交数据溯源报告E.允许使用外部云盘链接（答案：ABCD）三、判断题（每题1分，共10分。正确请填“√”，错误填“×”）41.2025年起，数据管理员可在公共云对象存储中直接存放含受试者姓名的CSV文件，只要bucket设为私有即可。（答案：×）42.差分隐私技术中，隐私预算ε越小，数据可用性越低。（答案：√）43.数据管理员使用VPN即满足零信任要求，无需额外身份验证。（答案：×）44.2025年新版GCP允许研究者使用微信语音确认严重不良事件，但需后续补录电子签名。（答案：×）45.数据管理员发现测试账号拥有生产库写权限，应立即回收并记录偏差。（答案：√）46.在Linux系统中，将文件权限设为“000”即可防止root用户读取。（答案：×）47.2025年起，对AI算法用于数据清理的结果须进行统计学验证并记录版本。（答案：√）48.数据备份采用“321”策略即：3份副本、2种介质、1份异地。（答案：√）49.数据管理员可将生产数据库还原至个人笔记本电脑用于离线分析。（答案：×）50.2025年新版《个人信息保护法》将“敏感个人信息”扩展至“基因数据”。（答案：√）四、填空题（每空1分，共20分）51.2025年新版《数据安全法》要求，关键信息基础设施运营者采购网络产品或服务，可能影响国家安全的，须通过________审查。（答案：国家安全）52.数据管理员在数据库加密中，采用________模式可同时保证机密性与完整性。（答案：AESGCM）53.2025年起，对CDMS系统进行账号生命周期管理时，离职人员账号须在________小时内禁用。（答案：2）54.数据脱敏技术中，k匿名要求每个等价类至少包含________条记录。（答案：k）55.数据管理员使用“________”命令可查看Linux文件系统ACL详情。（答案：getfacl）56.2025年新版GCP规定，电子系统验证文档须保留至试验结束后至少________年。（答案：15）57.数据安全事件分级中，造成1000万元以上直接损失的属于________级事件。（答案：特别重大）58.数据管理员在PostgreSQL中启用“________”扩展可实现行级加密。（答案：pgcrypto）59.2025年起，对跨境传输的人类遗传资源数据，须获得________办公室出境许可。（答案：中国人类遗传资源管理）60.数据管理员发现数据库出现“ORA01578”错误，表明数据块存在________错误。（答案：物理坏块/corruption）61.2025年新版《网络安全等级保护》要求，三级系统须每年至少进行________次漏洞扫描。（答案：2）62.数据管理员使用“________”工具可检测Docker镜像中的CVE漏洞。（答案：Trivy）63.2025年起，对CDMS系统进行渗透测试报告须由________资质机构出具。（答案：国家认可/CNAS）64.数据管理员在Excel中使用“________”函数可生成符合差分隐私的随机噪声。（答案：RAND()/LAPLACE）65.2025年新版《个人信息保护法》将“________”定义为“一旦泄露可能导致人身、财产安全受到严重危害”。（答案：敏感个人信息）66.数据管理员在Kubernetes中启用“________”策略可禁止容器以root身份运行。（答案：PodSecurityPolicy/PSA）67.2025年起，对AI辅助医学编码的算法须进行________测试，确保无种族偏差。（答案：公平性）68.数据管理员使用“________”命令可将MySQLbinlog远程实时备份。（答案：mysqlbinlogreadfromremoteserver）69.2025年新版GCP要求，电子签名私须存储在________模块中，防止导出。（答案：硬件加密/HSM）70.数据管理员在审计轨迹中发现“________”字段被清空，必须启动安全调查。（答案：修改时间戳/audit_time）五、简答题（每题10分，共30分）71.简述2025年新版《临床试验数据安全管理办法》对“数据分级分类”的具体要求，并举例说明如何对实验室指标字段进行分级。答案：办法将数据分为一般、重要、核心三级。分级依据包括：识别度、敏感度、规模、涉及疾病类型。实验室指标如ALT、Cr属“重要”，因可间接识别个体且涉及健康状态；若再关联出生日期、性别则升为“核心”。管理要求：核心数据须加密存储、访问需双人审批、跨境传输需专项评估、备份异地加密、审计轨迹永久保存。72.某国际多中心试验中，中国分中心需将影像数据实时同步至位于欧盟的中央影像平台。请列出数据管理员在传输前、传输中、传输后应采取的安全措施，并说明如何满足GDPR与中国《个人信息保护法