2025年医院信息安全管理制度试题及答案

2025年医院信息安全管理制度试题及答案一、单项选择题（每题2分，共30分）1.根据2025年最新修订的《医院信息安全管理规范》，以下哪类数据属于核心敏感信息？A.医院后勤物资采购清单B.患者影像检查报告（含个人标识）C.医护人员年度考核表D.医院学术会议通知答案：B2.某医院信息系统需进行等级保护备案，根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），三级系统应满足的最小安全控制项数量为？A.108项B.138项C.178项D.208项答案：C3.医院信息系统访问控制策略中，"最小权限原则"的核心要求是？A.所有用户默认拥有系统最高权限B.用户仅获得完成工作所需的最低权限C.医生权限高于护士，护士权限高于行政人员D.系统管理员可随意调整用户权限答案：B4.关于医疗数据脱敏处理，以下做法符合规范的是？A.将患者身份证号前14位替换为""B.直接删除患者联系方式字段C.对住院号进行哈希算法加密D.保留患者姓名但隐藏疾病诊断信息答案：C5.医院移动终端管理中，以下行为被严格禁止的是？A.经审批后使用医院专用VPN接入内网B.安装经安全检测的医疗APPC.使用私人手机拍摄患者电子病历屏幕D.定期对移动设备进行病毒扫描答案：C6.2025年《医疗数据安全分类分级指南》规定，患者基因检测数据应划分为？A.一级（一般数据）B.二级（重要数据）C.三级（核心数据）D.四级（绝密数据）答案：C7.医院信息系统发生数据泄露事件后，应在多长时间内向属地卫生健康主管部门和网信部门报告？A.1小时B.2小时C.24小时D.48小时答案：B8.以下哪项不属于医院信息安全技术防护措施？A.网络入侵检测系统（IDS）部署B.员工年度安全培训考核C.数据库加密存储D.双因素认证（2FA）实施答案：B9.某医院拟采购第三方医疗软件，根据《医院信息系统安全采购规范》，必须要求供应商提供的证明文件是？A.ISO9001质量管理体系认证B.网络安全等级保护三级测评报告C.软件著作权登记证书D.员工社保缴纳证明答案：B10.医疗物联网设备（如智能监护仪）接入医院内网时，应优先采用的安全措施是？A.开放所有端口以便数据传输B.为每台设备分配固定IP并隔离至专用子网C.使用默认出厂密码进行认证D.与办公电脑共享同一网络交换机答案：B11.关于电子病历归档存储，以下符合2025年规范的是？A.存储介质仅保留1份完整备份B.离线备份介质每3年进行1次恢复测试C.在线存储采用磁盘阵列（RAID5）技术D.归档数据可通过互联网直接访问查询答案：C12.医院信息安全事件分级中，"导致500名以上患者个人信息泄露"属于？A.特别重大事件（I级）B.重大事件（II级）C.较大事件（III级）D.一般事件（IV级）答案：B13.对信息系统进行补丁升级时，正确的操作流程是？A.直接在生产环境安装最新补丁B.先在测试环境验证补丁兼容性，再在生产环境分批次部署C.由系统管理员单独完成补丁安装，无需记录D.升级前无需备份系统数据答案：B14.医院患者门户网站需实现的核心安全功能是？A.允许患者自行修改电子病历内容B.提供无密码登录服务方便患者C.对患者登录行为进行日志记录和异常监测D.向所有注册用户开放全部医疗数据查询权限答案：C15.关于信息安全岗位设置，以下符合"职责分离"原则的是？A.系统管理员同时负责日志审计B.数据库管理员兼任数据备份操作员C.网络管理员与安全审计员为不同人员D.安全主管直接管理所有技术岗位答案：C二、判断题（每题1分，共10分。正确打√，错误打×）1.医院信息系统可以使用默认的"admin"账户作为超级管理员账号。（）答案：×2.患者在院期间产生的所有医疗数据，其所有权归医院所有。（）答案：×（注：患者拥有个人信息的主体权利）3.经患者书面同意后，医院可以向科研机构提供未脱敏的原始医疗数据。（）答案：√4.信息安全日志应至少保存6个月，重要日志需保存1年以上。（）答案：×（注：三级系统日志保存应不少于6个月，重要日志需保存1年）5.移动存储设备（U盘）可以在内外网计算机间交叉使用，只要进行病毒扫描。（）答案：×6.医院信息系统应关闭不必要的端口和服务，仅保留业务必需功能。（）答案：√7.数据备份介质可以与系统运行环境放置在同一房间，方便紧急恢复。（）答案：×8.医护人员调岗时，只需变更其系统登录密码，无需调整访问权限。（）答案：×9.第三方运维人员进入机房进行维护时，无需医院人员全程陪同。（）答案：×10.医院可以将患者健康档案数据用于商业广告推送，只要不泄露个人姓名。（）答案：×三、简答题（每题6分，共30分）1.简述医院信息安全"三同步"原则的具体内容。答案：医院信息化建设应遵循"同步规划、同步建设、同步运行"原则。即信息安全措施需与信息化项目规划同时设计，与信息系统建设同时实施，与业务系统运行同时启用，确保安全防护能力与业务发展水平相匹配。2.列举医院信息系统应实施的5项访问控制措施。答案：（1）用户身份唯一标识与鉴别（如账号+密码+动态令牌）；（2）基于角色的访问控制（RBAC），根据岗位职责分配权限；（3）会话超时自动退出机制；（4）访问权限定期审核与调整；（5）特权账户（如系统管理员）双人管理制。3.说明医疗数据脱敏的基本要求和常用技术手段。答案：基本要求：脱敏后数据应无法通过合理手段恢复原始信息，且保留数据的统计分析价值。常用技术：（1）替换（如将身份证号末4位替换为""）；（2）随机化（对数值型数据添加随机偏移）；（3）加密（使用对称/非对称加密算法）；（4）截断（删除部分字段，如隐藏手机号中间4位）；（5）匿名化（去除直接标识符和间接标识符）。4.简述医院发生勒索软件攻击后的应急处置流程。答案：（1）立即隔离受感染设备，断开与内网的连接；（2）启动信息安全应急预案，通知信息安全管理小组；（3）关闭受影响系统的外部访问入口，防止攻击扩散；（4）使用最近的有效备份数据进行系统恢复；（5）对攻击源进行溯源分析，记录攻击特征；（6）升级系统补丁，加强安全防护措施；（7）向卫生健康主管部门和网信部门报告事件情况；（8）对受影响患者进行告知，必要时提供身份保护服务。5.阐述2025年医院信息安全培训的重点内容和要求。答案：重点内容：（1）法律法规：《数据安全法》《个人信息保护法》《医疗数据管理暂行办法》等；（2）安全意识：数据泄露风险、社会工程学防范（如钓鱼邮件识别）；（3）操作规范：账号管理、密码设置、移动设备使用、数据访问权限遵守；（4）应急处置：常见安全事件（如勒索软件、数据泄露）的应对步骤；（5）新技术安全：物联网设备、AI辅助诊断系统的安全使用。要求：全员覆盖（包括外包人员），每年至少2次集中培训，每次不少于4学时；培训后需进行考核，合格率需达100%；建立培训档案，记录培训内容、参与人员、考核结果，保存期限不少于3年。四、案例分析题（共30分）案例背景：2025年6月，某三甲医院发生一起患者信息泄露事件。经调查，事件原因为：某护士张某使用个人手机连接医院Wi-Fi，通过微信将包含50名患者姓名、住院号、诊断结果的Excel文件发送给外部人员李某（非医院员工）。李某将文件转发至社交平台，导致信息扩散。经统计，涉及患者中包含10名肿瘤患者、5名传染病患者。问题1：分析该事件中存在的信息安全违规行为（8分）答案：（1）移动设备违规接入：张某使用个人手机连接医院内网Wi-Fi，违反"非授权移动设备禁止接入内网"的规定；（2）数据违规传输：通过微信（非医院指定安全传输工具）传输敏感医疗数据；（3）权限滥用：护士张某超出岗位职责范围获取并外传患者信息；（4）数据保护缺失：传输的Excel文件未进行脱敏处理，包含直接标识符（姓名、住院号）和敏感诊断信息；（5）外部人员数据接触：将医疗数据提供给非医院授权人员李某；（6）社交平台传播：导致数据在公共网络扩散，扩大影响范围。问题2：判断该事件的等级并说明依据（6分）答案：事件等级为较大事件（III级）。依据《医院信息安全事件分级标准》：（1）泄露患者数量为50名（≥30名且＜500名）；（2）包含肿瘤、传染病等特殊病种患者信息，属于高敏感数据；（3）信息已在社交平台扩散，造成一定社会影响。符合"较大事件（III级）"中"涉及30人以上500人以下敏感信息泄露，或造成较大社会影响"的判定标准。问题3：简述医院应采取的后续处置措施（8分）答案：（1）应急响应：立即停用张某的系统账号，锁定其访问权限；追溯数据传播路径，联系社交平台删除相关信息；（2）患者告知：通过电话、短信等方式向50名患者说明情况，提供个人信息保护建议（如监控银行账户、定期查询征信）；（3）内部追责：对张某进行纪律处分（警告、记过直至解除劳动合同），追究其所在科室负责人的管理责任；（4）整改措施：加强移动设备管理（如关闭内网Wi-Fi对个人设备的开放权限），部署数据防泄漏（DLP）系统监控敏感数据传输；（5）培训强化：针对全体医护人员开展"移动设备使用规范""数据外传审批流程"专题培训；（6）报告备案：2小时内向属地卫生健康委、网信办提交事件报告，说明原因、影响范围及整改方案；（7）技术加固：对患者信息查询系统增加二次认证（如短信验证码），限制Excel批量导出功能；（8）持续监测：对事件涉及的患者信息进行3个月的重点监控，防范二次泄露。问题4：从制度建设角度提出3条改进建议（8分）答案：（1）完善移动终端管理制度：明确"双设备"原则（工作使用医院配发的专用终端，个人设备禁止接入内网），建立移动设备白名单机制；（2）强化数据外传审批流程：制定《敏感数据外传管理办法》，规定外传超过20条患