2025年医院信息安全管理规范试题及答案

2025年医院信息安全管理规范试题及答案一、单项选择题（每题2分，共30题，合计60分）1.根据2025年《医院信息安全管理规范》（以下简称《规范》），医院信息安全管理的第一责任主体是？A.信息中心主任B.分管副院长C.医院法定代表人D.网络安全管理员答案：C2.医院电子病历系统中患者姓名、身份证号、诊疗记录属于哪一级数据？A.一级（公开）B.二级（内部）C.三级（敏感）D.四级（核心）答案：D3.访问医院HIS系统时，实习医生仅能查看本科室患者的基础信息，不能修改或导出，这体现了信息安全的哪项原则？A.最小权限原则B.责任分离原则C.纵深防御原则D.最小化攻击面原则答案：A4.医院与第三方公司合作开发智能分诊系统时，关于数据共享的要求，正确的是？A.共享前需经医院伦理委员会审批B.可直接共享匿名化后的数据C.第三方无需签署安全责任协议D.共享范围可超出合作需求答案：A5.医院核心业务系统（如LIS、PACS）的访问日志应至少保留多长时间？A.6个月B.1年C.2年D.3年答案：D6.发现医院患者影像数据被非法下载至外部设备，应在多长时间内向卫生健康主管部门报告？A.1小时B.2小时C.12小时D.24小时答案：B7.关于医疗设备物联网安全管理，错误的要求是？A.超声设备需与HIS系统物理隔离B.联网监护仪需启用设备身份认证C.设备固件更新需经过安全测试D.设备日志需同步至医院集中日志服务器答案：A8.医院开展信息安全培训时，新入职医护人员的初始培训时长不得少于？A.2学时B.4学时C.8学时D.16学时答案：C9.用于存储患者基因检测数据的数据库，应采用的加密方式是？A.链路层加密B.应用层加密C.数据库字段级加密D.文件系统加密答案：C10.医院容灾备份中心的建设标准中，针对门诊收费系统的恢复时间目标（RTO）应不超过？A.30分钟B.1小时C.2小时D.4小时答案：B11.对医院信息系统进行渗透测试时，必须提前获得批准的部门是？A.信息中心B.医务科C.医院安全委员会D.卫生健康主管部门答案：C12.患者通过医院APP查询检验报告时，系统要求输入短信验证码+人脸识别，这属于？A.单因素认证B.双因素认证C.多因素认证D.无密码认证答案：C13.医院采购新的电子病历系统时，必须符合的国家标准是？A.GB/T35273-2020《信息安全技术个人信息安全规范》B.GB/T22239-2019《信息安全技术网络安全等级保护基本要求》C.GB/T39725-2020《信息安全技术医疗健康信息系统安全防护要求》D.GB/T37973-2019《信息安全技术个人信息去标识化指南》答案：C14.发现某医生账号连续5次输入错误密码后，系统自动锁定该账号，这属于？A.访问控制B.身份认证C.安全审计D.入侵检测答案：A15.医院信息安全事件分级中，导致5000名患者个人信息泄露的事件属于？A.特别重大事件（I级）B.重大事件（II级）C.较大事件（III级）D.一般事件（IV级）答案：B16.医疗设备接入医院内网时，应首先进行的操作是？A.安装杀毒软件B.配置静态IPC.进行安全检测与注册D.开启远程管理功能答案：C17.医院信息安全风险评估的周期应为？A.每半年一次B.每年一次C.每两年一次D.每三年一次答案：B18.存储患者用药记录的移动硬盘丢失后，正确的处理流程是？A.立即格式化硬盘B.报告信息中心后自行寻找C.启动应急预案并上报主管部门D.联系硬盘厂商远程锁定数据答案：C19.医院信息系统的口令策略中，普通医护人员账号的最小长度应为？A.6位B.8位C.10位D.12位答案：B20.对医院信息系统进行数据备份时，离线备份介质的存放地点应？A.与机房同一楼层B.与机房同一建筑C.与机房同城不同区D.与机房异地（跨市）答案：D21.医院开展远程医疗会诊时，传输的影像数据必须采用的加密算法是？A.DESB.AES-256C.RSA-1024D.MD5答案：B22.信息中心工作人员调试系统时，使用超级管理员账号的要求是？A.可长期持有账号B.需双人授权并记录操作日志C.调试结束后无需退出D.可共享给其他技术人员答案：B23.医院APP收集患者位置信息时，必须满足的条件是？A.无需告知用户B.仅收集必要的位置范围（如医院内）C.可用于商业推广D.存储期限无限制答案：B24.医疗物联网设备（如智能血压计）的安全漏洞修复时限应为？A.发现后24小时内B.发现后72小时内C.发现后1周内D.发现后1个月内答案：A25.医院信息安全管理手册的修订频率应为？A.每年至少一次B.每两年至少一次C.每三年至少一次D.无固定要求，按需修订答案：A26.患者通过自助机打印检查报告时，系统要求输入就诊卡号+验证码，这是为了防止？A.数据篡改B.越权访问C.否认抵赖D.信息泄露答案：D27.医院与云服务商合作存储电子病历数据时，必须明确的是？A.数据所有权归属医院B.云服务商可自行使用数据C.数据泄露责任由患者承担D.无需签订数据安全协议答案：A28.信息安全检查中发现某科室电脑未安装终端安全管理软件，应首先采取的措施是？A.批评科室负责人B.断开该电脑网络连接C.记录问题并限期整改D.上报医院安全委员会答案：B29.医院信息系统的灾难恢复演练频率应为？A.每季度一次B.每半年一次C.每年一次D.每两年一次答案：B30.对患者基因组数据进行去标识化处理时，必须保留的信息是？A.姓名B.身份证号C.样本编号D.联系方式答案：C二、多项选择题（每题3分，共10题，合计30分。每题至少有2个正确选项，错选、漏选均不得分）1.医院信息安全管理体系应包括以下哪些内容？A.安全管理制度文件B.安全技术防护措施C.安全管理组织架构D.安全培训与考核机制答案：ABCD2.属于医院核心数据的有？A.患者电子病历全文B.医院财务报表C.药品库存数据D.基因检测原始数据答案：AD3.访问控制的实施要素包括？A.身份标识B.权限分配C.访问审计D.动态调整答案：ABCD4.医院信息系统加密技术的应用场景包括？A.患者数据传输过程B.数据库存储时C.移动存储介质使用前D.打印输出时答案：ABC5.信息安全培训的重点内容应包括？A.个人信息保护法规B.系统操作安全规范C.社会工程学防范D.应急响应流程答案：ABCD6.医院信息安全应急预案应包含的要素有？A.事件分级标准B.响应组织机构C.技术处置流程D.事后评估要求答案：ABCD7.对第三方合作方的安全管理应包括？A.签订数据安全协议B.开展安全风险评估C.限制数据使用范围D.定期审计合作过程答案：ABCD8.终端安全防护的主要措施有？A.安装统一杀毒软件B.启用屏幕自动锁定C.禁止使用移动存储设备D.实施网络准入控制答案：ABD9.容灾备份的基本要求包括？A.备份数据完整性验证B.备份介质异地存放C.定期进行恢复测试D.备份频率与业务重要性匹配答案：ABCD10.信息安全风险评估的主要步骤包括？A.资产识别与赋值B.威胁与脆弱性分析C.风险等级计算D.制定风险处置措施答案：ABCD三、判断题（每题1分，共20题，合计20分。正确填“√”，错误填“×”）1.医院信息安全管理只需关注技术防护，无需建立管理制度。（）答案：×2.患者诊疗数据属于个人敏感信息，需采用最高级别保护。（）答案：√3.实习医生因工作需要可临时借用带教老师的账号登录系统。（）答案：×4.医院信息系统的日志只需记录关键操作，普通访问无需留存。（）答案：×5.发现数据泄露后，应优先通知患者，再向主管部门报告。（）答案：×6.医疗设备联网前必须进行安全检测，确认无漏洞后方可接入。（）答案：√7.医院可将患者电话号码提供给合作药企用于用药提醒。（）答案：×8.信息中心工作人员可使用默认管理员账号进行系统维护。（）答案：×9.移动终端接入医院内网时，必须通过设备身份认证和安全检查。（）答案：√10.数据备份完成后，无需验证备份数据的可用性。（）答案：×11.医院信息安全培训只需针对技术人员，医护人员无需参与。（）答案：×12.第三方合作结束后，应要求其删除或返还所有医院数据。（）答案：√13.患者通过手机查询报告时，系统可长期保存用户登录会话。（）答案：×14.医院信息系统的口令应定期更换，普通账号更换周期不超过90天。（）答案：√15.发生信息安全事件后，为避免影响医院声誉，可隐瞒不报。（）答案：×16.医疗物联网设备的固件更新可由厂商直接推送，无需医院审核。（）答案：×17.医院APP收集患者信息时，应明确告知收集目的、方式和范围。（）答案：√18.容灾备份中心的建设标准应与主系统完全一致，确保无缝切换。（）答案：√19.信息安全检查中发现的问题，只需记录在案，无需跟踪整改。（）答案：×20.医院信息安全管理的最终目标是实现“零风险”。（）答案：×四、简答题（每题5分，共10题，合计50分）1.简述医院信息安全管理的“三同步”原则。答案：医院信息系统建设应遵循“同步规划、同步建设、同步使用”原则，即信息安全措施需与信息系统规划设计同时进行，与系统建设实施同时开展，与系统投入使用同时生效，确保安全防护与业务发展同步推进。2.列举医院数据分级保护的具体措施（至少4项）。答案：（1）核心数据（如电子病历）采用字段级加密存储；（2）敏感数据（如患者联系方式）限制访问权限至最小必要范围；（3）内部数据（如科室排班表）实施访问审批流程；（4）公开数据（如医院地址）定期审核更新内容；（5）不同级别数据存储于逻辑隔离的数据库中。3.说明访问控制“最小权限原则”的具体实施要求。答案：（1）根据用户角色（如医生、护士、行政人员）分配基础权限；（2）根据具体岗位职责细化权限（如门诊医生仅能查看本科室患者数据）；（3）权限需定期审核（至少每季度一次）并动态调整；（4）临时权限需设置有效期限并记录审批过程；（5）禁止默认全权限账号存在。4.医院信息系统加密技术的应用需满足哪些要求？答案：（1）传输加密：采用AES-256或国密SM4算法，确保端到端加密；（2）存储加密：数据库采用透明加密或应用层加密，移动介质采用硬件加密；（3）密钥管理：独立于数据存储，由专人保管并定期更换；（4）加密范围覆盖所有敏感数据（如身份证号、诊疗记录）；（5）加密算法符合国家密码管理要求，禁止使用已淘汰算法（如DES）。5.信息安全培训的重点对象及内容分别是什么？答案：重点对象包括：（1）医院管理层（院长、分管副院长）；（2）业务部门人员（医生、护士、药剂师）；（3）技术人员（信息中心员工）；（4）第三方合作人员。培训内容：（1）法规要求（《个人信息保护法》《数据安全法》）；（2）安全操作规范（账号使用、数据访问）；（3）风险识别（钓鱼邮件、社会工程学攻击）；（4）应急处置（数据泄露上报流程）；（5）责任追究（违规操作的后果）。6.医院信息安全应急预案应包含哪些核心环节？答案：（1）事件监测与预警：通过日志分析、入侵检测系统实时监控；（2）事件分级：明确I-IV级事件的判定标准（如数据泄露量、系统中断时间）；（3）响应流程：包括初步处置（隔离故障设备）、技术分析（定位漏洞）、患者通知（72小时内）、主管部门报告（2小时内）；（4）资源保障：明确应急团队、备用设备、通信渠道；（5）事后评估：总结事件原因、改进防护措施、追究责任。7.第三方合作方安全管理的关键环节有哪些？答案：（1）准入审核：审查合作方资质（信息安全等级保护认证）、过往安全记录；（2）协议签订：明确数据使用范围、安全责任划分、违约处罚条款；（3）过程监管：定期检查数据访问日志、开展现场审计；（4）数据管控：限制合作方仅能访问必要数据，采用“可用不可见”技术（如脱敏处理）；（5）退出管理：要求合作结束后删除或安全返还数据，签署保密承诺。8.终端安全防护的主要技术措施有哪些？答案：（1）网络准入控制：未安装安全软件、未通过补丁检查的设备禁止接入内网；（2）端点加密：笔记本电脑硬盘启用全盘加密；（3）移动存储管控：限制U盘使用（仅允许注册设备），启用文件外发审批；（4）行为监控：记录终端操作日志（如文件复制、程序运行）；（5）补丁管理：通过统一平台推送系统及软件补丁，72小时内完成修复。9.容灾备份的基本要求包括哪些方面？答案：（1）备份策略：核心系统（如HIS）每日全量备份+每小时增量备份，非核心系统每周全量备份；（2）备份介质：采用磁盘+磁带组合，离线介质存放于异地（跨市）；（3）恢复测试：每半年进行一次恢复演练，验证RTO（恢复时间目标）和RPO（恢复点目标）；（4）数据验证：备份后检查数据完整性（如哈希校验），确保无损坏；（5）文档管理：备份方案、恢复流程书面化，定期更新。10.信息安全风险评估的主要步骤及目的是什么？答案：步骤：（1）资产识别：列出所有信息资产（如电子病历数据库、PACS系统）并赋值（保密性、完整性、可用性）；（2）威胁分析：识别外部威胁（如黑客攻击）、内部威胁（如误操作）；（3）脆弱性评估：检测系统漏洞（如未修复的SQL注入漏洞）、管理漏洞（如账号共享）；（4）风险计算：通过“威胁×脆弱性×资产价值”确定风险等级；（5）处置措施：高风险需立即整改（如修复漏洞），中风险需监控，低风险可接受。目的是全面掌握医院信息安全现状，为安全策略调整提供依据，预防安全事件发生。五、案例分析题（共1题，20分）【案例背景】2025年3月，某三甲医院信息中心发现HIS系统日志显示，某护士账号于凌晨2点登录并下载了5000条患者电子病历数据（包含姓名、身份证号、诊断结果）。经调查，该护士账号密码为简单的“123456”，且近一年未更换；下载的数据包通过医院内网传输至外部IP地址；护士本人声称账号被盗用，否认操作行为。问题：1.分析该事件暴露的信息安全隐患（6分）；2.确定事件责任主体（4分）；3.简述应急处置流程（6分）；4.提出改进措施（4分）。答案：1.暴露的安全隐患：（1）账号安全管理缺失：密码复杂度不足（简单数字）、未定期更换（超1年）；（2）访问控制漏洞：护士账号被赋予超出职责的下载权限（普通护士不应具备批量下载病