2025年医院信息安全培训试题及答案

2025年医院信息安全培训试题及答案一、单项选择题（每题2分，共30分）1.依据《个人信息保护法》及医疗机构数据分类要求，以下哪类数据属于最高等级（L4级）敏感数据？A.患者姓名、年龄B.电子病历诊断结论、基因检测结果C.医院设备采购清单D.门诊叫号队列信息答案：B（解析：L4级为最高敏感等级，包含直接关联患者健康权、隐私权的核心数据，如诊断结论、基因信息等）2.某医院信息系统采用基于角色的访问控制（RBAC），护士张某因轮岗需从住院部调至门诊部，系统管理员应执行的正确操作是？A.直接删除张某原住院部角色权限B.新增门诊部角色并绑定权限，保留原角色权限C.撤销原住院部角色权限，绑定新的门诊部角色权限D.为张某开通超级管理员临时权限完成过渡答案：C（解析：RBAC要求权限与角色严格绑定，岗位变更需同步调整角色权限，避免权限冗余）3.医院部署终端安全管理系统时，以下哪项措施不符合最小权限原则？A.限制护士站电脑仅安装HIS系统客户端B.允许医生工作站安装统计分析软件C.为后勤部门电脑开放所有USB接口读写权限D.禁止收费窗口终端使用蓝牙功能答案：C（解析：最小权限原则要求仅授予完成工作所需的必要权限，后勤部门无需全USB接口读写权限）4.2025年新型钓鱼攻击中，攻击者通过AI生成与某医生日常用语高度相似的邮件，诱导点击恶意链接。此类攻击主要利用了信息安全的哪一要素？A.技术防护漏洞B.人员安全意识薄弱C.管理制度缺失D.网络边界防护不足答案：B（解析：AI钓鱼攻击的核心是模仿可信沟通方式，突破点在于目标人员的安全意识判断）5.某医院HIS系统数据库发生异常访问，审计日志显示某护士账号在非工作时间（凌晨3:15）登录并查询100份非管床患者病历。最可能的安全事件类型是？A.系统故障导致的误操作B.账号被盗用进行数据窃取C.存储设备硬件损坏D.网络延迟导致的日志错记答案：B（解析：非工作时间、非职责范围的高频查询符合账号盗用特征）6.依据《医疗机构网络安全管理规定》，二级以上医院应当至少每多久开展一次全面的信息安全风险评估？A.半年B.1年C.2年D.3年答案：B（解析：法规明确二级以上医疗机构需每年开展全面风险评估）7.医院移动护理终端（PDA）管理中，以下哪项措施存在安全隐患？A.采用设备绑定，仅允许注册设备接入内网B.开启屏幕自动锁定（5分钟无操作锁定）C.定期（每月）强制更新设备系统补丁D.允许护士使用个人微信传输患者检查报告截图答案：D（解析：个人社交软件传输敏感数据违反"专人专用、专机专用"原则，易导致数据泄露）8.某医院拟与第三方公司合作开发AI辅助诊断系统，关于数据共享的安全要求，以下错误的是？A.签订数据安全协议，明确数据使用范围和责任B.对共享数据进行去标识化处理（删除姓名、ID号）C.要求第三方承诺不将数据用于协议外用途D.提供原始数据库全量访问权限便于系统开发答案：D（解析：需遵循"最小必要"原则，禁止提供超出开发需求的全量数据权限）9.电子病历系统登录时，采用"用户名+动态验证码+指纹识别"的三重认证方式，主要提升了哪方面的安全防护能力？A.数据加密强度B.身份认证可靠性C.访问控制粒度D.日志审计完整性答案：B（解析：多因素认证（MFA）通过组合不同认证方式，显著提高身份验证的可靠性）10.医院信息中心发现某科室交换机遭受ARP欺骗攻击，导致部分终端无法访问HIS系统。最直接的应急处置措施是？A.关闭该交换机电源重启B.在交换机上绑定IP与MAC地址C.对受影响终端进行全盘病毒扫描D.升级交换机固件版本答案：B（解析：ARP欺骗的核心是伪造IP-MAC映射，绑定静态映射可阻断攻击）11.依据《数据安全法》，医院发生数据泄露事件后，向市级网信部门和卫生健康主管部门报告的时限要求是？A.立即（1小时内）B.24小时内C.48小时内D.72小时内答案：B（解析：法规要求发生数据泄露后，应在24小时内向相关部门报告）12.医院部署物联网设备（如智能监护仪）时，以下安全措施优先级最低的是？A.为设备分配独立IP段并设置防火墙策略B.定期更改设备默认管理密码C.开启设备日志记录功能D.允许设备直接连接互联网更新固件答案：D（解析：物联网设备直接连接公网易受攻击，应通过内网安全通道更新固件）13.某医生在移动终端查看电子病历时，系统提示"访问超出当日权限次数限制"，这属于哪种安全控制机制？A.流量控制B.会话管理C.访问频率限制D.数据脱敏答案：C（解析：通过限制单位时间内的访问次数，防止暴力破解或异常高频访问）14.医院开展信息安全培训时，以下哪项内容不符合"针对性"要求？A.为收费员重点培训POS机支付安全规范B.为信息中心工程师讲解渗透测试技术C.为全体员工统一培训《网络安全法》全文D.为护士培训移动护理终端使用安全注意事项答案：C（解析：全员统一培训法律全文缺乏岗位针对性，应结合不同岗位职责设计内容）15.某医院信息系统采用SSL/TLS1.3协议进行数据传输加密，相比旧版本协议，其最主要的改进是？A.支持更长的密钥长度B.减少握手延迟，提升传输效率C.增加数字签名算法D.支持国密SM4算法答案：B（解析：SSL/TLS1.3优化了握手流程，显著降低延迟，同时保持加密强度）二、判断题（每题1分，共10分。正确打√，错误打×）1.医院可以将患者姓名、就诊科室等非诊疗信息提供给合作保险公司用于核保。（）答案：×（解析：需取得患者明确授权，且需符合"最小必要"原则）2.信息系统账号应遵循"一人一号"原则，禁止共用账号。（）答案：√（解析：共用账号无法追溯操作责任，违反安全管理基本要求）3.为方便工作，医生可以将个人账号密码告知实习医生临时使用。（）答案：×（解析：任何情况下不得共享账号密码，实习医生需使用独立账号）4.医院内网终端感染勒索软件后，应立即断网并隔离设备，避免扩散。（）答案：√（解析：断网隔离是阻止勒索软件横向传播的关键措施）5.电子病历归档后，原诊疗科室医生仍可无限制访问所有历史病历。（）答案：×（解析：需根据岗位职责设置访问权限，非必要不提供全量访问）6.医院可以使用公共云服务存储备份电子病历，只需与云服务商签订保密协议。（）答案：×（解析：存储核心医疗数据需符合本地化存储要求，公共云需通过安全评估）7.发现陌生人员在机房附近徘徊时，应立即上前询问并核实身份。（）答案：√（解析：物理安全防护要求对可疑人员及时核查）8.为提升工作效率，护士站电脑可以关闭自动更新功能，手动选择更新时间。（）答案：×（解析：关闭自动更新会导致系统漏洞无法及时修复，增加被攻击风险）9.医院信息系统日志应至少保存6个月，重要日志需保存1年以上。（）答案：√（解析：《网络安全法》要求日志留存时间不少于6个月，医疗行业通常延长至1年）10.患者通过医院APP查询检验报告时，系统显示"莉"（姓名脱敏）、"20-05"（出生日期脱敏），符合数据脱敏要求。（）答案：√（解析：姓名保留姓氏、日期保留部分信息，属于合理脱敏方式）三、简答题（每题8分，共40分）1.简述医院信息系统发生数据泄露事件后的应急处置流程。答案：（1）立即启动应急预案，成立应急小组（包含信息中心、法务、临床、公关等部门）；（2）初步判定泄露范围（涉及数据类型、数量、影响患者数量）；（3）隔离受影响系统/设备，阻断泄露路径（如关闭异常接口、冻结涉事账号）；（4）技术溯源（通过日志分析确定泄露原因：内部误操作、外部攻击、系统漏洞等）；（5）通知受影响患者（通过短信、电话等方式告知风险及补救措施）；（6）24小时内向卫生健康主管部门和网信部门报告；（7）实施整改措施（修复漏洞、加强权限管理、开展员工培训）；（8）形成书面报告，留存备查（至少保存3年）。2.列举医院电子病历系统访问控制的5项实施要点。答案：（1）基于角色的访问控制（RBAC）：根据岗位（医生、护士、管理员）分配不同权限；（2）最小权限原则：仅授予完成工作所需的最低权限（如护士仅能查看管床患者病历）；（3）多因素认证（MFA）：登录时需组合密码+短信验证码/指纹/动态令牌；（4）权限定期审核：每季度对账号权限进行核查，清理冗余权限；（5）会话超时控制：设置非操作自动退出时间（如15分钟无操作自动登出）；（6）分级访问控制：根据数据敏感等级（如普通病历、传染病病历）设置不同访问门槛（可选，答5项即可）。3.说明医院移动终端（如PDA、平板）的3项特殊安全管理要求。答案：（1）设备绑定管理：所有移动终端需注册备案，仅允许绑定设备接入内网，禁止未注册设备连接；（2）数据本地存储限制：禁止移动终端缓存敏感数据（如电子病历全文），访问后及时清除临时文件；（3）物理安全防护：配备防丢失装置（如挂绳、定位功能），禁止在非工作区域使用；（4）远程擦除功能：设备丢失时，可通过管理平台远程删除存储数据；（5）网络接入控制：仅允许通过医院专用Wi-Fi或VPN接入，禁止连接公共Wi-Fi（答3项即可）。4.分析医院员工安全意识薄弱可能导致的3类典型安全事件，并提出针对性培训内容。答案：典型事件：（1）点击钓鱼邮件链接导致账号被盗；（2）使用弱密码（如"123456"）被暴力破解；（3）在公共场合谈论患者隐私信息被偷听；（4）将移动设备交给无关人员使用导致数据泄露（答3类即可）。培训内容：（1）钓鱼攻击识别（如异常发件人、诱导性话术）；（2）密码安全规范（8位以上、字母+数字+符号组合、定期更换）；（3）隐私保护场景教育（如不在电梯/食堂讨论患者信息）；（4）移动设备使用规范（禁止外借、丢失后立即上报）。5.简述医院第三方合作单位（如系统开发商、设备供应商）的信息安全管理要求。答案：（1）资质审核：要求提供网络安全等级保护认证、信息安全管理体系（ISO27001）证书等；（2）协议约束：签订数据安全协议，明确数据使用范围、保密义务、违约责任；（3）访问控制：为第三方人员分配临时账号，限制访问范围（仅涉及合作模块），设置访问时限；（4）监督管理：安排专人全程陪同现场操作，记录操作日志并定期审计；（5）数据回收：合作结束后，要求第三方删除或归还所有医院数据，签署数据清除确认书；（6）安全培训：第三方人员需接受医院信息安全培训并签署承诺书（答5项即可）。四、案例分析题（每题10分，共20分）案例1：2025年3月，某三甲医院信息中心监测到HIS系统数据库出现异常流量，经核查发现：护士王某的账号在22:00-23:30期间登录并下载了500份患者电子病历（包含姓名、诊断结果、用药记录）。进一步调查显示：王某当天18:00已下班，账号密码为"Wang123"（入职时设置未修改）；下载的病历通过微信发送给某医药代表李某。问题：（1）分析该事件暴露的安全隐患；（2）提出针对性整改措施。答案：（1）暴露的安全隐患：①账号密码管理薄弱（弱密码且长期未修改）；②权限管理漏洞（护士账号具备批量下载病历权限）；③日志监控不足（未及时发现非工作时间异常访问）；④员工安全意识缺失（王某泄露患者隐私牟利）；⑤第三方人员管理缺位（医药代表获取敏感数据）。（2）整改措施：①强制密码策略（要求12位以上、定期更换、禁止使用简单组合）；②优化权限配置（护士账号限制为"查看"权限，禁止"下载""导出"操作）；③加强实时监控（对非工作时间、非职责范围访问触发警报）；④开展全员安全培训（重点强调隐私保护法律责任、违规案例警示）；⑤建立医药代表合作规范（禁止通过任何方式获取患者诊疗数据，签订保密协议并定期审计）；⑥完善审计机制（对关键操作（如数据下载）进行双因素认证+详细日志记录）。案例2：2025年5月，某社区医院因财务人员点击邮件附件，导致内网感染"医疗版"勒索软件，所有电脑及服务器被加密，要求支付5枚比特币（约合150万元）解密。信息中心尝试使用备份恢复时，发现最近一次有效备份是3天前，且部分关键数据（如近2日门诊记录）未成功备份。问题：（1）分析事件发生的主要原因；（2）提出预防此类事件的综合措施。答案：（1）主要原因：①员工安全意识不足（未识别钓鱼邮件风险，随意打开附件）；②备份策略不合理（备份频率低，未实现关键数据实时备份）；③终端防护缺失（未部署勒索软件检测工具，病毒库未及时更新）；④网络隔离不到位（财务终端与医疗业务终端未划分不同安全区域，导致病毒扩散）；⑤应急预案缺失（未定期演练备份恢复流程，关键时刻无法快速响应）。（2）综合预防措施：①