2025年医院信息技术信息安全保密管理试题及答案

2025年医院信息技术信息安全保密管理试题及答案一、单项选择题（共20题，每题2分，共40分）1.根据《个人信息保护法》及医疗行业规范，以下哪类信息不属于医院需重点保护的“敏感个人信息”？A.患者基因检测报告B.住院费用明细清单C.精神疾病诊断记录D.传染病筛查结果答案：B2.某医院HIS系统（医院信息系统）需部署访问控制机制，以下符合“最小权限原则”的配置是？A.护士账号默认拥有查看本科室所有患者电子病历的权限B.药剂师账号仅开放药品库存查询及调配权限，无修改医嘱权限C.系统管理员账号同时具备数据库读写与日志删除权限D.实习生账号可访问近3年所有患者的检查报告答案：B3.医院移动护理终端（PDA）存储患者生命体征数据时，应优先采用的加密方式是？A.对称加密算法（如AES-256）B.哈希算法（如SHA-256）C.非对称加密算法（如RSA-2048）D.无加密仅靠设备物理锁保护答案：A4.根据《医疗质量安全管理办法》及信息安全要求，医院电子病历系统日志至少应保留多长时间？A.6个月B.1年C.3年D.5年答案：D5.某医院拟采购第三方云存储服务存储患者影像数据，以下哪项不属于必须审核的安全资质？A.公安部信息系统安全等级保护三级认证B.国家密码管理局商用密码产品认证C.医疗机构执业许可证D.ISO/IEC27001信息安全管理体系认证答案：C6.医院信息系统发生数据泄露事件后，向卫生健康主管部门报告的最晚时限是？A.发现后1小时内B.发现后24小时内C.发现后72小时内D.完成事件调查后5个工作日内答案：B7.以下哪项不属于医院信息系统物理安全的防护措施？A.机房安装电子门禁系统B.核心服务器部署冗余电源C.终端设备安装防病毒软件D.机房配备气体灭火装置答案：C8.医院开展远程医疗会诊时，传输患者影像数据的通信链路应满足的最低安全要求是？A.使用SSL/TLS1.2及以上协议加密B.通过互联网明文传输但限制IP访问C.使用虚拟专用网络（VPN）但不加密D.仅在院内局域网内传输答案：A9.某医生使用个人手机登录医院移动查房系统，违反了哪项信息安全管理原则？A.最小权限原则B.资产专用原则C.责任分离原则D.数据脱敏原则答案：B10.医院信息系统权限审批流程中，最终审批权应归属？A.申请部门负责人B.信息中心主任C.分管副院长D.系统管理员答案：C11.对患者姓名、年龄等非敏感信息进行脱敏处理时，最合理的方式是？A.随机替换为虚假姓名（如“患者A”）B.保留前1位后脱敏（如“张”）C.全部替换为“”号D.直接删除相关字段答案：B12.医院信息系统漏洞扫描周期最短应不超过？A.每月1次B.每季度1次C.每半年1次D.每年1次答案：A13.以下哪类人员无需签订《信息安全保密协议》？A.新入职护士B.外包运维工程师C.来院实习的医学生D.医院保洁人员答案：D14.医院灾备系统的恢复时间目标（RTO）应不超过？A.1小时B.4小时C.8小时D.24小时答案：B15.医疗设备物联网（如智能监护仪）接入医院内网时，必须实施的安全措施是？A.开放所有端口以便设备通信B.分配固定IP地址并划分独立VLANC.允许设备自动获取DHCP地址D.不设置访问控制策略答案：B16.医院开展信息安全培训时，新员工上岗前的最低培训时长应为？A.2学时B.4学时C.8学时D.16学时答案：C17.以下哪项不属于《数据安全法》规定的医院数据安全义务？A.建立数据分类分级保护制度B.定期开展数据安全风险评估C.向社会公开患者数据处理规则D.采取必要技术措施保障数据安全答案：C18.医院电子病历系统用户密码的最小长度要求是？A.6位B.8位C.10位D.12位答案：B19.发生患者信息泄露事件后，医院无需向以下哪个部门报告？A.卫生健康主管部门B.公安机关C.市场监督管理局D.网络安全主管部门答案：C20.医院信息系统应急预案的演练周期最短应不超过？A.每季度1次B.每半年1次C.每年1次D.每两年1次答案：B二、多项选择题（共10题，每题3分，共30分，多选、少选、错选均不得分）1.医院医疗数据分类分级的主要依据包括？A.数据泄露可能造成的社会影响B.数据对医疗质量的影响程度C.数据的产生部门（如门诊/住院）D.数据涉及的个人敏感程度答案：ABD2.以下属于医院信息系统访问控制技术措施的有？A.基于角色的访问控制（RBAC）B.双因素认证（2FA）C.网络访问控制（NAC）D.日志审计答案：ABC3.医院终端设备（如医生工作站、护士站电脑）的安全管理应包括？A.安装终端安全管理软件B.禁用USB存储设备（特殊授权除外）C.定期更新操作系统补丁D.允许安装非必要第三方软件答案：ABC4.医院与第三方合作开发信息系统时，需在合同中明确的安全条款包括？A.数据所有权归属B.第三方人员安全培训要求C.数据泄露的违约责任D.系统交付后的运维责任答案：ABCD5.以下哪些行为违反医院信息安全保密规定？A.医生将工作账号密码告知实习医生临时使用B.护士使用个人U盘拷贝患者检验报告C.工程师在测试环境使用生产环境数据D.信息中心定期备份电子病历数据答案：ABC6.医院信息系统日志应记录的关键信息包括？A.用户登录时间及IP地址B.数据修改操作内容C.系统异常报错信息D.用户电脑硬件配置答案：ABC7.医院移动医疗应用（如患者端APP）的安全要求包括？A.采用HTTPS协议传输数据B.存储个人信息时进行加密C.收集信息遵循“最小必要”原则D.允许自动连接任意Wi-Fi网络答案：ABC8.以下属于医院信息安全管理组织架构组成部分的有？A.信息安全领导小组（院长牵头）B.信息中心（具体实施部门）C.内部审计部门（监督部门）D.临床科室信息安全联络人答案：ABCD9.医院开展信息安全风险评估时，需评估的对象包括？A.信息系统架构设计B.人员安全意识C.物理环境防护措施D.第三方合作风险答案：ABCD10.患者信息泄露事件的应急处置步骤包括？A.立即断开受影响系统网络连接B.追溯泄露源头并固定证据C.通知可能受影响的患者D.隐瞒事件避免社会影响答案：ABC三、判断题（共15题，每题1分，共15分，正确填“√”，错误填“×”）1.医院可以将患者姓名、联系方式提供给医药代表用于学术推广。（）答案：×2.信息系统管理员可以同时负责系统运维和日志审计工作。（）答案：×3.医院机房可以与其他科室共用空调系统。（）答案：×4.患者在门诊大厅公共WiFi下访问医院官网无需加密。（）答案：×5.电子病历的修改应保留原记录并标注修改人及时间。（）答案：√6.医院可以使用默认密码配置医疗设备网络参数。（）答案：×7.外包公司工程师维修信息系统时，无需医院人员全程陪同。（）答案：×8.医院信息系统可以使用弱口令（如“123456”）用于内部测试。（）答案：×9.患者影像数据（如CT、MRI）属于核心医疗数据，需加密存储。（）答案：√10.医院无需对离职员工的信息系统账号进行及时注销。（）答案：×11.医疗设备物联网（IoT）可以直接接入互联网。（）答案：×12.医院信息安全培训只需覆盖信息中心人员。（）答案：×13.数据脱敏后的信息可以随意共享。（）答案：×14.医院灾备系统应至少每半年进行一次恢复演练。（）答案：√15.患者授权他人查询病历信息时，只需提供被授权人身份证复印件。（）答案：×四、简答题（共5题，每题5分，共25分）1.简述医院医疗数据分类分级的具体标准及对应级别。答案：医院医疗数据分类分级应基于“敏感性”和“影响程度”双维度：（1）核心数据：泄露或损毁可能导致患者生命安全受到威胁、重大医疗纠纷或社会影响（如电子病历核心诊疗记录、基因检测结果、精神疾病诊断信息），需最高级别保护（A级）；（2）重要数据：泄露可能导致患者隐私侵害或医疗秩序影响（如检查检验报告、住院费用明细），需加强保护（B级）；（3）一般数据：非敏感且影响较小（如门诊挂号信息、普通体检结果），需基本保护（C级）。2.列举医院信息系统访问控制的主要技术措施。答案：主要技术措施包括：（1）基于角色的访问控制（RBAC）：根据岗位职责分配权限；（2）双因素认证（2FA）：结合密码+动态验证码/硬件令牌；（3）网络访问控制（NAC）：限制终端设备接入权限；（4）会话超时机制：无操作自动退出；（5）权限最小化配置：仅开放必要功能权限。3.说明医院终端设备（如医生工作站电脑）安全管理的关键点。答案：关键点包括：（1）设备注册管理：建立资产台账，记录设备责任人；（2）软件管控：禁用非必要软件安装，定期扫描恶意程序；（3）存储介质管理：限制USB接口使用，重要数据禁止本地存储；（4）补丁管理：及时更新操作系统及软件安全补丁；（5）访问控制：设置登录密码，启用屏幕保护锁定。4.简述医院信息安全应急预案的主要内容。答案：应急预案应包括：（1）组织架构：明确应急指挥组、技术组、联络组职责；（2）事件分级：根据影响程度划分特别重大、重大、较大、一般四级；（3）处置流程：包含监测预警、事件报告、现场控制、数据恢复、损失评估等步骤；（4）资源保障：储备备用设备、应急通讯工具、技术支持联系方式；（5）后期整改：事件复盘、漏洞修复、培训强化措施。5.阐述医院与第三方合作时需采取的信息安全管理措施。答案：管理措施包括：（1）资质审核：核查第三方的信息安全认证（如等保三级、ISO27001）及行业经验；（2）合同约束：明确数据所有权、保密义务、违约责任及数据返还要求；（3）访问控制：限制第三方人员仅访问必要系统，实施账号最小权限管理；（4）过程监督：安排专人全程监督数据处理过程，定期审计操作日志；（5）退出管理：合作结束后收回所有账号权限，清除或安全销毁残留数据。五、案例分析题（共2题，每题15分，共30分）案例1：2025年3月，某三甲医院护士张某使用个人手机登录医院移动护理系统，查看本科室患者电子病历后未退出账号。其手机因遗失被他人捡到，拾得者通过未退出的系统账号访问了50名患者的诊断记录及用药信息。问题：（1）分析事件暴露的安全隐患；（2）列出应采取的应急处置措施；（3）提出改进建议。答案：（1）安全隐患：①违反“设备专用原则”，使用个人手机登录内部系统；②未启用会话超时自动退出机制；③移动终端未强制要求双因素认证；④护士安全意识不足，未及时退出账号。（2）应急处置：①立即冻结张某账号及涉事手机的系统访问权限；②追溯泄露数据范围，确认50名患者信息是否被进一步传播；③向卫生健康部门、公安机关报告事件；④通过电话/短信通知受影响患者，提示防范信息滥用；⑤启动内部调查，明确张某的管理责任。（3）改进建议：①禁止个人设备访问生产系统，统一配备专用移动终端；②移动系统强制启用双因素认证（密码+动态验证码）；③设置会话超时（如5分钟无操作自动退出）；④加强全员培训，重点强调设备使用规范；⑤部署移动终端管理（MDM）系统，监控设备在线状态及操作行为。案例2：某医院信息中心工程师李某在维护HIS系统时，误将生产环境数据库备份文件存储至未加密的外部硬盘。该硬盘在办公室被盗，导致2019-2024年住院患者的姓名、身份证号、联系方式等信息泄露。问题：（1）分析事件责任主体及违规点；（2）说明需向哪些部门报告及报告内容；（3）提出数据安全管理改进措施。答案：（1）责任主体及违规点：①工程师李某：违反“数据存储加密”要求，未对备份数据加密；违反“存储介质安全管理”规定，未将备份存储于安全场所（如机房保险柜）；②信息中心：未制定备份数据加密规范，未监督存储介质的安全存放；③医院管理层：未落实数据安全管理制度的执行监督。（2）报告部门及内容：需向卫生健康主管部门报告事