2025年医院信息安全意识试题及答案

2025年医院信息安全意识试题及答案一、单项选择题（每题2分，共40分）1.某医院护士在值班期间使用个人手机拍摄患者电子病历界面，拟发送给带教老师请教病情。该行为违反了以下哪项信息安全原则？A.最小授权原则B.数据最小化原则C.不可抵赖原则D.信息保密原则答案：D解析：患者病历属于敏感个人信息，未经授权拍摄并传输至私人设备，违反信息保密原则。根据《个人信息保护法》第二十三条，个人信息处理者向其他个人信息处理者提供个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。2.医院信息科工程师需远程维护HIS系统，正确的操作流程是？A.使用公共WiFi连接VPN，输入静态密码登录B.通过医院专用安全接入平台，使用双因素认证（短信验证码+动态令牌）登录C.直接使用工程师个人账号远程桌面连接服务器D.将服务器账号密码告知值班护士代为操作答案：B解析：远程维护核心系统需采用多因素认证（MFA）确保身份真实性，公共WiFi存在中间人攻击风险，个人账号直接连接或委托他人操作均违反最小权限和职责分离原则。3.实习医生小张在打印患者检验报告时，误将包含20份患者姓名、身份证号的文档发送至科室公共邮箱。发现错误后，正确的处理方式是？A.立即删除自己电脑中的文档，假装未发生B.联系IT部门锁定公共邮箱，撤回邮件（若系统支持），并上报信息安全办公室C.私信提醒科室同事“勿查看公共邮箱新邮件”D.重新发送正确文档后，忽略错误邮件答案：B解析：发生误发敏感信息事件时，应立即采取控制措施（如撤回、锁定），并按医院《信息安全事件报告制度》上报，以便启动后续调查和补救流程。4.医院引入的第三方检验设备需接入医院内网，设备供应商工程师提出使用自带笔记本电脑调试。正确的处理方式是？A.允许接入，因设备调试需要B.要求工程师使用医院提供的终端，安装防病毒软件并注册设备准入系统C.由医院工程师将设备接入外网调试，避免影响内网安全D.口头登记工程师身份后直接接入答案：B解析：第三方人员使用自带设备接入内网存在恶意软件植入风险，需通过医院终端准入系统进行安全检查（如病毒扫描、补丁检测），并限制访问权限至仅调试所需网段。5.下列哪项不属于医院患者个人信息“最小必要”处理原则的应用？A.护士站仅显示本科室患者的姓名、床位号，隐藏身份证号B.影像科医生调阅患者CT报告时，系统自动屏蔽其他科室诊疗记录C.医院官网公示全体医护人员姓名、职称及擅长领域D.财务科仅收集患者医保卡号用于费用结算，不额外索要家庭住址答案：C解析：官网公示医护人员基本信息属于合理信息公开，但患者个人信息的处理需严格遵循最小必要，而医护人员信息不属于患者个人信息范畴，因此C选项不涉及患者信息处理原则。6.医生李某收到一封标题为“2025年医保政策调整通知（急）”的邮件，附件为“医保新政策.pdf”。正确的处理方式是？A.直接打开附件，因发件人显示为“市医保局”B.转发给科室同事共同学习C.登录市医保局官方网站核实通知真实性，确认无误后通过医院内网专用软件下载附件D.右键扫描附件无病毒后打开答案：C解析：钓鱼邮件常模仿官方机构发送，需通过官方渠道（如官网、官方联系方式）验证信息真实性，避免直接打开未知附件。即使杀毒软件未检测到病毒，也可能存在0day漏洞攻击。7.医院信息系统登录密码的最佳设置方式是？A.姓名首字母+生日（如zhangsan1985）B.包含大小写字母、数字和特殊符号的12位以上组合（如Hosp@2025Safe3）C.与个人社交账号密码相同（便于记忆）D.每半年更换一次，新密码与旧密码仅修改最后一位数字答案：B解析：符合复杂度要求的密码可有效抵御暴力破解，A选项使用弱密码（生日易被猜测），C选项违反“不同系统不同密码”原则，D选项属于“滚动密码”，仍存在被猜测风险。8.护士小王在值班结束后未退出电脑登录界面即离开，被保洁人员误触操作导致患者信息被浏览。该事件的主要责任方是？A.保洁人员（因误触操作）B.医院（未安装屏幕自动锁定功能）C.小王（未履行个人终端安全管理责任）D.IT部门（未限制未登录用户访问权限）答案：C解析：员工需对个人使用的终端负责，离开时应主动退出系统或启用屏幕锁定（如设置5分钟无操作自动锁定），未采取防护措施导致的信息泄露由使用者承担主要责任。9.医院开展信息安全培训后，要求员工签署《信息安全承诺书》。承诺书的核心内容不包括？A.承诺不泄露工作中获取的患者信息B.承诺定期更新个人终端操作系统补丁C.承诺对他人借用账号的行为承担连带责任D.承诺参与医院组织的年度信息安全考核答案：B解析：终端补丁更新属于IT部门的系统管理职责（如通过补丁管理平台统一推送），员工承诺内容应聚焦于个人行为规范（如不泄露信息、不转借账号）。10.某患者家属要求复印其配偶的电子病历，正确的流程是？A.核对家属身份证与患者关系证明（如结婚证），通过医院病历复印系统生成加盖电子签章的PDF文件B.直接将电子病历截图发送至家属提供的邮箱C.打印纸质病历后手工盖章，交予家属D.因患者未亲自申请，拒绝复印答案：A解析：根据《医疗机构病历管理规定》第十九条，患者本人或其代理人申请复印病历时，需提供有效身份证明及关系证明，医院应通过正规渠道提供加盖电子签章的病历复制件，避免直接截图或纸质文件流转风险。11.医院移动护理系统（PDA）的安全管理要求不包括？A.PDA仅绑定护士个人工号，离职时注销账号B.PDA存储的患者信息在断开网络后自动加密C.PDA丢失后，护士需在30分钟内上报并远程锁定设备D.PDA可连接科室公共WiFi，方便实时同步数据答案：D解析：移动护理终端应使用医院专用无线局域网（如通过802.1X认证的医疗专网），避免连接公共WiFi导致数据泄露。12.医院信息安全领导小组发现某科室存在批量患者信息导出记录，经核查为护士为统计科研数据未经审批擅自导出。该行为违反了以下哪项制度？A.《医院信息系统权限管理制度》B.《患者信息分级分类管理制度》C.《数据出境安全评估制度》D.《重要数据处理审批制度》答案：D解析：批量导出患者信息（属于重要数据）需提前向信息安全管理部门申请，说明用途、范围和防护措施，未经审批的导出行为违反重要数据处理审批制度。13.下列哪项操作符合“最小权限原则”？A.药房工作人员账号同时具备药品库存查询和处方修改权限B.实习医生账号仅能查看本科室患者的检验报告，无法修改C.信息科工程师账号可访问所有业务系统的后台数据库D.行政人员账号具备医院官网内容发布和用户管理权限答案：B解析：最小权限原则要求用户仅获得完成工作所需的最低权限，实习医生只需查看报告无需修改，符合该原则；其他选项均存在权限过度授予问题。14.医院发生患者信息泄露事件后，应在多长时间内向卫生健康主管部门报告？A.24小时B.48小时C.72小时D.立即（1小时内）答案：A解析：根据《医疗质量安全事件报告暂行规定》和《个人信息保护法》第五十一条，发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人，其中向主管部门报告的时限一般不超过24小时。15.医生使用医院提供的平板电脑（已绑定工号）在门诊诊室记录患者主诉时，正确的行为是？A.诊室无人时，将平板电脑放置在诊桌上离开B.患者家属围观时，用身体遮挡屏幕防止信息被查看C.为方便记录，将患者身份证号直接输入平板电脑备忘录D.下班时将平板电脑带回家继续撰写病历答案：B解析：需采取物理防护措施（如遮挡屏幕）防止患者信息被无关人员窥视；A选项可能导致设备丢失，C选项将敏感信息存储于非授权应用，D选项违反移动设备“专机专用、不外带”规定。16.医院信息安全演练的主要目的是？A.测试信息系统的运行速度B.验证员工对信息安全事件的应急响应能力C.评估IT部门的设备采购预算合理性D.检查医护人员的病历书写规范答案：B解析：安全演练的核心是通过模拟攻击（如勒索软件、数据泄露）检验应急预案的有效性和员工的协同处理能力。17.某科室因业务需要需将患者检验数据提供给合作研究机构，正确的流程是？A.科室主任与研究机构签订协议后直接导出数据B.报信息安全办公室审核，通过数据脱敏（删除姓名、身份证号）后提供，并取得患者书面同意C.将原始数据加密后通过邮件发送给研究机构联系人D.要求研究机构签署保密协议后提供原始数据答案：B解析：对外提供患者个人信息需满足“最小必要”原则（脱敏处理）、取得患者同意（除非法律另有规定），并经医院信息安全管理部门审批。18.护士发现医疗废物暂存处有一张未完全粉碎的患者检查申请单（包含姓名、检查项目），正确的处理是？A.捡回后补碎，上报科室护士长B.将申请单重新投入医疗垃圾桶C.撕成两半后丢弃D.忽略，因仅包含检查项目无敏感信息答案：A解析：包含患者姓名的纸质单据属于敏感信息载体，未规范销毁可能导致信息泄露，需补碎并上报以便追溯责任和改进流程。19.医院信息系统显示某账号连续5次登录失败，系统自动锁定该账号。这是哪种安全机制的应用？A.访问控制B.入侵检测C.账户锁定策略D.数据加密答案：C解析：账户锁定策略通过限制错误登录次数防止暴力破解，属于身份认证的安全控制措施。20.下列哪项不属于社会工程学攻击手段？A.冒充医院领导要求护士提供患者信息B.在护士站放置带病毒的U盘（标注“科室培训资料”）C.通过钓鱼邮件诱导医生点击链接输入账号密码D.使用漏洞扫描工具检测医院系统弱点答案：D解析：社会工程学攻击依赖对人的心理操纵（如欺骗、诱导），而漏洞扫描属于技术攻击手段。二、多项选择题（每题3分，共30分，少选、多选、错选均不得分）21.医院员工在处理患者信息时，应遵守的“三不”原则包括？A.不泄露：不向无关人员透露患者信息B.不存储：不在非授权设备中存储患者信息C.不传播：不通过私人渠道传输患者信息D.不修改：不擅自修改患者电子病历内容答案：ABC解析：“三不”原则通常指不泄露、不存储、不传播，不修改属于病历管理规范，非通用“三不”原则。22.医院移动设备（如手机、平板）的安全管理措施包括？A.安装医院统一推送的移动安全管理（MDM）软件B.禁止安装非医院应用商店的APPC.设备丢失后，通过MDM远程擦除患者信息D.使用设备拍摄手术过程用于学术交流答案：ABC解析：D选项需经患者同意并通过医院宣传部门审核，不属于常规安全管理措施。23.下列哪些行为可能导致医院信息系统被植入勒索软件？A.点击邮件中的不明链接B.安装科室同事推荐的“便捷办公软件”C.定期更新操作系统补丁D.使用医院专用U盘拷贝数据答案：AB解析：勒索软件通常通过钓鱼链接、恶意软件安装传播，定期打补丁（C）和使用专用存储设备（D）是防护措施。24.医院患者信息分级中，“高度敏感信息”包括？A.患者姓名、年龄B.身份证号、医保卡号C.诊断结果、治疗方案D.联系方式、家庭住址答案：BCD解析：姓名、年龄属于一般个人信息，其他选项涉及身份识别、健康隐私，属于高度敏感信息。25.信息安全事件发生后，需记录的关键信息包括？A.事件发生时间、涉及系统/设备B.受影响的患者数量及信息类型C.初步判断的原因（如误操作、外部攻击）D.参与处理的人员及采取的措施答案：ABCD解析：完整的事件记录需包含时间、地点、影响、原因、处理过程等要素，便于后续分析和改进。26.医院远程办公的安全要求包括？A.使用医院提供的VPN接入内网B.远程终端需安装防病毒软件并开启防火墙C.办公电脑与家用电脑为同一设备时，需设置独立账户隔离工作数据D.可通过私人微信传输患者检查报告（仅医生与患者本人沟通）答案：ABC解析：私人社交工具（如微信）存在数据泄露风险，禁止用于传输患者敏感信息。27.下列哪些属于医院信息安全“红线”行为？A.将工卡借给同事登录系统B.在科室公共电脑上保存个人患者管理表格C.未经审批将患者信息用于科研统计D.下班后关闭个人电脑显示器答案：ABC解析：工卡借用、违规存储/使用患者信息均属于严重违规行为，关闭显示器是正常操作。28.医院信息安全培训的重点人群包括？A.新入职医护人员B.信息科技术人员C.第三方合作机构驻场人员D.后勤保障部门员工答案：ABCD解析：所有可能接触患者信息或医院系统的人员均需接受安全培训，包括第三方人员和后勤人员（如接触纸质病历的保洁员）。29.防止医院内部人员误操作导致信息泄露的措施有？A.系统设置操作日志审计功能B.对高风险操作（如批量导出）进行二次确认C.定期开展“误操作场景”模拟培训D.限制所有员工的信息访问权限至最低必要答案：ABCD解析：日志审计可追溯操作，二次确认减少误操作，模拟培训提升意识，最小权限降低风险。30.医院信息安全管理制度应包括？A.《患者信息分级分类管理办法》B.《信息系统账号权限审批流程》C.《移动设备使用安全规范》D.《信息安全事件应急响应预案》答案：ABCD解析：制度需覆盖分类管理、权限审批、设备使用、应急响应等全流程。三、判断题（每题1分，共10分，正确打“√”，错误打“×”）31.医生可以将患者的姓名、病情摘要用于学术会议案例分享，无需取得患者同意。（×）解析：根据《个人信息保护法》第二十三条，用于学术研究等目的需取得患者同意（匿名化处理的除外）。32.医院内网电脑可以连接私人U盘，只要先查杀病毒。（×）解析：私人U盘可能携带未知病毒或恶意软件，内网设备应使用医院统一配发的“白名单”存储设备。33.护士发现同事违规查看非负责患者的病历，应立即向信息安全办公室举报。（√）解析：内部监督是信息安全管理的重要环节，发现违规行为需及时上报。34.医院信息系统的默认密码（如“123456”）可以直接使用，只要定期修改。（×）解析：默认密码安全性极低，必须在首次登录时修改为符合复杂度要求的密码。35.患者在门诊大厅自助机打印报告时，屏幕显示的个人信息无需遮挡，因属于公开区域。（×）解析：自助机屏幕应设计为仅显示当前用户信息，并通过防窥膜等物理措施防止他人窥视。36.医院官网可以公示患者的治疗效果案例（包含姓名、照片），只要患者已康复出院。（×）解析：使用患者姓名、照片需取得明确同意，即使康复也需尊重隐私。37.信息科工程师可以将系统管理员账号密码告知其他工程师，便于协同维护。（×）解析：管理员账号需专人专用，禁止共享密码，协同维护应通过权限分配或临时账号实现。38.医院开展信息安全考核时，允许员工查阅资料答题，因考核目的是提升意识而非测试记忆。（√）解析：考核重点是理解和应用能力，允许查阅资料可避免形式主义。39.移动护理PDA在充电时，可以放置在护士站公共区域，无需专人看管。（×）解析：PDA存储患者信息，需放置在安全区域（如带锁抽屉）或专人看管，防止丢失。40.医院与保险公司合作开展医保结算时，可直接提供患者完整病历，因属于业务必要。（×）解析：需对病历进行脱敏处理（如隐去无关诊疗细节），并取得患者同意后提供。四、案例分析题（每题10分，共20分）案例41：2025年3月15日，某医院急诊科护士张某在交接班时，将记录有20名患者姓名、诊断结果及联系方式的纸质交接班本遗忘在更衣室更衣柜（未上锁）。次日，清洁人员打扫时发现该记录本并上交护士长。经核查，记录本未被他