2025年医院信息安全考核试题及答案

2025年医院信息安全考核试题及答案一、单项选择题（每题2分，共20题，合计40分）1.根据《个人信息保护法》及医疗行业要求，医院在收集患者个人信息时应遵循的核心原则是：A.全面收集原则B.最小必要原则C.自主选择原则D.公开透明原则答案：B2.某医院信息系统存储的患者电子病历属于哪类数据？A.公共数据B.一般业务数据C.敏感数据D.无关数据答案：C3.医院HIS系统（医院信息系统）管理员的账号权限设置应遵循：A.最高权限原则B.最小权限原则C.分级授权原则D.动态调整原则答案：B4.医院信息系统日志应至少保留多长时间？A.3个月B.6个月C.12个月D.24个月答案：B（依据《网络安全法》第二十一条，重要系统日志保留不少于6个月）5.医院通过互联网提供远程诊疗服务时，传输患者病历数据应采用的加密算法是：A.MD5B.SHA-1C.SM4（国密算法）D.DES答案：C（医疗敏感数据传输需符合国家密码管理要求，优先使用国密算法）6.医院终端设备（如医生工作站电脑）接入内网前必须完成的安全操作是：A.安装非正版杀毒软件B.关闭防火墙C.进行安全检测（病毒扫描、补丁检查）D.卸载所有安全防护软件答案：C7.医院信息安全应急预案的演练频率应至少为：A.每季度1次B.每半年1次C.每年1次D.每两年1次答案：B（国家卫生健康委《医院信息安全管理规范》要求至少每半年演练1次）8.发现信息系统高危漏洞后，应在多长时间内完成修复？A.24小时B.48小时C.72小时D.1周答案：B（依据《关键信息基础设施安全保护条例》，高危漏洞修复时限不超过48小时）9.医院委托第三方公司进行信息系统运维时，需签订的核心协议是：A.服务合同B.保密协议C.设备采购协议D.技术培训协议答案：B（必须明确第三方的安全责任和数据保护义务）10.某医生因工作需要调阅非本科室患者电子病历，需经过的审批流程是：A.直接登录系统查看B.经本科室主任口头同意C.通过信息系统提交申请并经分管院长审批D.联系系统管理员临时授权答案：C（需遵循“最小访问权限”和“审批留痕”原则）11.医院影像归档和通信系统（PACS）存储的医学影像数据，其访问控制应采用：A.基于角色的访问控制（RBAC）B.基于属性的访问控制（ABAC）C.自主访问控制（DAC）D.强制访问控制（MAC）答案：A（医疗场景中RBAC更符合科室、职位的权限划分需求）12.医院移动护理终端（如PAD）使用完毕后，正确的安全操作是：A.直接关闭屏幕B.设置自动锁屏（5分钟内）C.卸载所有应用程序D.格式化存储设备答案：B（防止设备丢失后数据泄露）13.医院信息安全事件分级中，“导致500例以上患者个人信息泄露”属于：A.一级事件（特别重大）B.二级事件（重大）C.三级事件（较大）D.四级事件（一般）答案：B（依据《卫生行业信息安全事件分级指南》，500例以上属重大事件）14.医院开展信息安全培训时，新入职医护人员的培训时长应不少于：A.1学时B.2学时C.4学时D.8学时答案：C（《医院信息安全管理规范》要求新员工培训不少于4学时）15.医院网站发布患者就诊统计数据时，正确的处理方式是：A.直接发布原始数据B.对姓名、身份证号等标识信息进行脱敏处理C.仅删除姓名，保留其他信息D.模糊处理年龄、性别等非敏感信息答案：B（需符合“去标识化”要求，避免信息可复原）16.医院信息系统发生数据篡改事件后，首要的应急措施是：A.通知媒体B.恢复最近一次有效备份C.追究操作人员责任D.关闭所有信息系统答案：B（优先恢复业务连续性，防止损失扩大）17.医院使用的电子签名系统，其密钥管理应遵循的原则是：A.密钥由系统管理员统一保管B.密钥由使用者个人保管（如UKey）C.密钥存储在公共服务器D.密钥定期公开更新答案：B（确保签名不可抵赖，密钥需由本人持有）18.医院与外部科研机构合作开展临床研究时，提供患者数据的前提是：A.患者已签署知情同意书B.科研机构承诺保密C.数据量不超过100例D.合作项目通过伦理审查答案：A（需同时满足伦理审查和患者知情同意）19.医院信息安全岗位人员离岗时，必须完成的操作是：A.归还工作设备B.修改个人账号密码C.提交离职报告D.参与离职面谈答案：A（同时需删除或禁用其系统访问权限，归还设备属于核心步骤）20.医院信息安全自查的重点内容不包括：A.设备物理安全（如机房门禁）B.员工手机使用情况C.数据备份有效性D.访问日志完整性答案：B（手机使用属个人行为，除非涉及内网接入，否则不属自查重点）二、多项选择题（每题3分，共10题，合计30分，少选、错选均不得分）1.医院数据分类的主要依据包括：A.数据敏感性（如患者隐私、诊疗核心数据）B.法律合规要求（如《个人信息保护法》）C.业务影响程度（如数据丢失对诊疗的影响）D.数据存储介质（如纸质、电子）答案：ABC2.医院信息系统访问控制的主要措施包括：A.账号实名制（一人一账号）B.定期权限审计（每季度一次）C.双因素认证（如密码+动态令牌）D.默认开放所有功能权限答案：ABC3.医院终端设备（如护士站电脑）的安全防护应包括：A.安装企业级杀毒软件并定期更新B.关闭不必要的端口和服务C.禁止使用U盘等移动存储设备（或进行严格管控）D.允许安装任意第三方软件答案：ABC4.医院信息安全应急预案应包含的内容有：A.事件分级标准（如一般、重大、特别重大）B.应急响应流程（报告、处置、恢复）C.应急团队职责分工（如技术组、沟通组）D.事后评估与改进措施答案：ABCD5.医院信息安全培训的对象应包括：A.临床医护人员（如医生、护士）B.信息科技术人员C.行政管理人员（如财务、人事）D.第三方运维人员答案：ABCD6.医院信息安全监测的关键指标包括：A.异常登录次数（如非工作时间登录）B.数据外传流量（如向外部IP传输大文件）C.系统漏洞数量（尤其是高危漏洞）D.员工满意度答案：ABC7.医院患者个人信息加密的应用场景包括：A.电子病历存储时（静态加密）B.远程诊疗数据传输时（动态加密）C.打印病历纸质件时D.内部会诊系统调阅数据时答案：AB8.下列属于医院信息安全违规行为的有：A.医生将个人账号密码告知实习医生使用B.护士使用自己手机拍摄患者电子病历屏幕C.信息科工程师定期备份系统数据D.行政人员调阅非职责范围内的患者检查报告答案：ABD9.医院数据容灾备份的要求包括：A.本地备份（如机房内存储）B.异地备份（如不同城市数据中心）C.备份数据定期验证（每季度一次）D.备份介质可随意外借答案：ABC10.医院信息安全责任主体包括：A.医院法定代表人（院长）B.信息管理部门负责人（信息科主任）C.具体系统操作人员（如收费员）D.患者本人答案：ABC三、判断题（每题1分，共10题，合计10分，正确划“√”，错误划“×”）1.医院收集患者信息时，只要获得患者同意，就可以超范围收集。（）答案：×（需遵循“最小必要原则”，不得超范围收集）2.患者电子病历经脱敏处理（如删除姓名、身份证号）后，可随意提供给外部机构。（）答案：×（脱敏后仍需评估数据可复原风险，需签订保密协议）3.医院信息系统应默认关闭所有不必要的访问权限（默认拒绝策略）。（）答案：√4.为方便查询，医院信息系统日志可以随意修改或删除。（）答案：×（日志需保持完整性，禁止随意修改）5.医生使用私人手机连接医院内网查看患者病历，无需审批。（）答案：×（移动设备接入内网需经过安全检测和审批）6.医院与第三方合作开发信息系统时，无需在合同中明确数据归属和安全责任。（）答案：×（必须明确数据所有权和安全义务）7.信息安全应急演练只需模拟网络攻击场景，无需覆盖硬件故障。（）答案：×（需覆盖网络攻击、硬件故障、人为误操作等多场景）8.发现系统漏洞后，无论风险等级高低，都应立即修复。（）答案：×（需评估风险等级，低危漏洞可计划修复）9.实习医生因工作需要调阅患者电子病历，可使用带教医生的账号。（）答案：×（需使用独立账号，禁止共用）10.医院发生信息安全事件后，只需内部处理，无需向卫生健康主管部门报告。（）答案：×（重大事件需在24小时内向主管部门报告）四、简答题（每题5分，共6题，合计30分）1.简述医院数据分类分级的具体步骤。答案：（1）数据资产识别：梳理医院所有数据类型（如电子病历、检查报告、患者基本信息、财务数据等）；（2）分类维度确定：按敏感性分为敏感数据（患者隐私、诊疗核心数据）、一般数据（如公共通知）；按业务影响分为关键数据（如手术记录）、支持数据（如会议纪要）；（3）分级标准制定：结合法律要求（如《个人信息保护法》）和业务需求，将数据分为一级（极高敏感，如患者身份证号）、二级（高敏感，如诊断结果）、三级（一般敏感，如就诊时间）；（4）标签化管理：在信息系统中对数据打分类分级标签，实施差异化保护；（5）动态更新：随着业务变化（如新系统上线）或法规更新（如新政策发布），及时调整分类分级结果。2.说明访问控制“三要素”及其在医院信息系统中的具体应用。答案：访问控制三要素为主体（访问者）、客体（被访问资源）、控制策略（允许或拒绝的规则）。在医院中的应用：（1）主体：明确医护人员、行政人员、第三方运维人员等不同角色；（2）客体：具体为电子病历、检查报告、HIS系统功能模块等资源；（3）控制策略：基于角色分配权限（如医生仅能访问本科室患者病历，护士仅能查看护理相关信息），结合时间限制（如非工作时间禁止访问敏感数据）和位置限制（如仅内网终端可访问核心系统），并通过双因素认证（密码+指纹）增强验证。3.列举医院终端安全管理的5项关键措施。答案：（1）端点准入控制：终端接入内网前需通过安全检测（病毒扫描、补丁检查）；（2）补丁管理：定期推送系统和软件补丁（如Windows系统补丁、Office更新）；（3）外设管控：禁用USB接口或仅允许授权U盘接入（通过白名单管理）；（4）防病毒与入侵防御：安装企业级杀毒软件（如深信服EDR），开启入侵检测系统（IDS）；（5）屏幕锁定策略：设置自动锁屏时间（不超过15分钟），防止设备无人看管时数据泄露；（6）应用程序管控：禁止安装非授权软件（如游戏、聊天工具），仅允许运行诊疗相关程序（可选答5项）。4.医院信息安全应急预案应包含哪些核心内容？演练时需注意哪些要点？答案：核心内容：（1）事件分级标准（如一般事件：100例以下信息泄露；重大事件：500例以上信息泄露）；（2）应急组织架构（总指挥、技术组、沟通组、后勤组）及职责；（3）响应流程：事件发现→初步判断→上报→隔离受影响系统→数据恢复→原因分析；（4）资源保障（如备用服务器、应急联系方式）；（5）事后处置（责任认定、改进措施）。演练要点：（1）覆盖多场景（如勒索软件攻击、硬件故障、人为误操作）；（2）模拟真实环境（使用生产系统的镜像，避免影响正常业务）；（3）记录演练过程（包括响应时间、处置措施）；（4）邀请外部专家评估（如卫生健康委信息中心）；（5）根据演练结果修订预案（每年至少修订1次）。5.简述医院信息安全培训的主要内容及频率要求。答案：主要内容：（1）法律法规：《网络安全法》《个人信息保护法》《医疗质量安全管理办法》等；（2）安全意识：密码安全（强密码设置、禁止共享）、数据泄露风险（如拍照泄露病历）、社会工程学防范（如钓鱼邮件）；（3）操作规范：账号使用（一人一账号）、终端安全（禁止使用私人设备接入内网）、数据访问（审批流程）；（4）应急技能：发现异常情况的报告流程（如系统变慢、数据异常）、基本的病毒清除方法。频率要求：（1）新员工入职培训：不少于4学时（含理论+实操）；（2）全员年度培训：不少于8学时（每季度1次专题培训）；（3）关键岗位（如信息科、收费处）：每半年1次强化培训（不少于6学时）；（4）事件后培训：发生重大安全事件后1个月内开展专项培训。6.说明医院电子病历系统应采取的5项技术防护措施。答案：（1）加密存储：对电子病历内容（如诊断结果、用药记录）进行加密（使用SM4算法），密钥由专人管理；（2）访问审计：记录所有调阅操作（时间、账号、IP地址、查看内容），生成审计日志并保留至少1年；（3）权限控制：采用RBAC模型，根据科室和职位分配权限（如主任医师可查看本科室所有病历，住院医师仅能查看自己管床患者）；（4）防篡改技术：对电子病历添加数字签名（使用国密SM2算法），确保内容修改可追溯；（5）网络隔离：将电子病历系统部署在内网，与互联网物理隔离（或通过网闸访问）；（6）漏洞扫描：每月对系统进行漏洞检测（使用专业工具如Nessus），及时修复高危漏洞（可选答5项）。五、案例分析题（每题10分，共2题，合计20分）案例1：2025年3月，某三甲医院HIS系统突发异常，经技术排查发现，一名收费员因疏忽未退出登录，其账号被无关人员冒用，导致2000例患者姓名、就诊时间、部分诊断结果泄露至外部网站。问题：（1）分析事件发生的直接原因和间接原因；（2）列出需采取的应急补救措施；（3）提出3项改进建议。答案：（1）直接原因：收费员未退出系统（违反“离开终端需锁屏”规定），账号未启用自动退出功能（如30分钟无操作自动登出）；无关人员冒用账号（系统未检测到异常登录行为）。间接原因：信息安全培训不到位（收费员安全意识薄弱），访问控制策略不完善（未对非工作时间登录进行限制），日志监测缺失（未及时发现异常访问）。（2）应急补救措施：①立即锁定涉事账号，修改密码；②断开HIS系统与互联网连接（如有），防止数据进一步泄露；③通过医院官网、短信通知受影响患者（告知泄露内容、防范建议）；④向卫生健康主管部门报告（24小时内提交书面报告）；⑤启动数据恢复（使用最近一次有效备份恢复系统）。（3）改进建议：①加强终端管理：强制设置自动退出时间（15分钟），启用屏幕锁定功能；②优化监测机制：部署行为分析系统（UEBA），识别异常