患者信息安全管理制度试题及答案

患者信息安全管理制度试题及答案一、单项选择题（每题2分，共20分）1.根据《个人信息保护法》及医疗行业相关规定，患者信息的“最小必要原则”是指：A.仅收集与诊疗直接相关的最少信息B.收集所有可能涉及患者健康的信息C.由主治医生决定收集范围D.按医院信息系统默认设置收集2.医疗机构患者信息安全管理的第一责任人是：A.信息科科长B.分管副院长C.医院法定代表人或主要负责人D.护理部主任3.以下哪项不属于患者信息“去标识化”的技术要求？A.移除患者姓名、身份证号等直接标识符B.保留疾病诊断、治疗时间等诊疗信息C.无法通过剩余信息单独或结合其他信息识别患者身份D.确保剩余信息与患者本人建立直接关联4.医疗机构内部人员访问患者电子病历的权限应遵循：A.岗位需要原则，按职责分配最小必要权限B.所有医务人员均有权限访问全部患者信息C.由信息科统一开放最高权限D.科主任可随意分配本科室人员访问权限5.发生患者信息泄露事件后，医疗机构应在多长时间内向卫生健康主管部门报告？A.立即（1小时内）B.24小时内C.48小时内D.72小时内6.患者信息存储介质（如移动硬盘、U盘）报废时，应采取的安全措施是：A.直接丢弃B.格式化后转赠其他部门C.进行数据彻底擦除或物理销毁D.由信息科统一保管备查7.以下哪项属于患者信息安全“技术防护措施”？A.定期开展信息安全培训B.部署访问控制和审计系统C.制定《患者信息安全管理制度》D.设立信息安全管理委员会8.患者申请查阅自身病历信息时，医疗机构应：A.以“系统故障”为由拒绝B.要求患者提供书面申请并核实身份后提供C.仅允许患者查看检查报告，不提供诊断记录D.收取高额查阅费用9.医疗机构与第三方合作开展健康数据分析时，必须：A.直接提供原始患者信息B.签订数据安全协议并确保数据去标识化C.由第三方自行承担信息泄露责任D.不限制第三方对数据的使用范围10.患者信息安全事件应急演练的频率应至少为：A.每季度一次B.每半年一次C.每年一次D.每两年一次二、填空题（每题2分，共20分）1.患者信息是指医疗机构在诊疗活动中收集的与患者个人相关的信息，包括但不限于姓名、性别、身份证号、______、______、检查检验结果、诊断结论等。2.患者信息安全管理应遵循“______、______、全程可控、责任可追溯”的基本原则。3.医疗机构应建立患者信息访问日志，记录访问时间、访问人员、______、______等关键信息，日志保存期限不少于______年。4.发生患者信息泄露后，除向主管部门报告外，还应及时通知受影响患者，通知内容包括泄露的信息类型、可能造成的影响、______及______。5.患者信息加密应采用符合国家密码管理规定的______，存储和传输过程中敏感信息（如身份证号、联系方式）应进行______处理。三、判断题（每题2分，共20分。正确填“√”，错误填“×”）1.实习医生因学习需要，可使用带教老师账号访问患者信息。（）2.患者信息匿名化后，医疗机构可无需患者同意用于科研用途。（）3.医疗机构信息系统的管理员可随意查看所有患者信息。（）4.患者信息纸质档案只需存放在带锁的文件柜中，无需额外安全措施。（）5.发现员工违规查询患者信息时，应立即停用其账号并开展调查。（）6.为提高工作效率，护士站可将登录密码共享给本科室所有护士使用。（）7.患者信息泄露事件的责任认定应包括直接责任人、主管领导及机构责任。（）8.医疗机构无需对第三方合作方的信息安全能力进行评估。（）9.患者信息安全培训应覆盖所有接触患者信息的人员，包括保洁、后勤等临时人员。（）10.电子病历系统应具备操作痕迹留存功能，确保任何修改可追溯。（）四、简答题（每题8分，共24分）1.简述医疗机构患者信息安全管理的主要职责分工。2.列举至少5项患者信息访问控制的具体措施。3.说明患者信息泄露事件的应急处置流程。五、案例分析题（16分）某三级医院护士张某因个人原因，在非工作时间使用自己的账号登录医院电子病历系统，查询了10名非本科室患者的病历信息（包括姓名、诊断结果、用药记录），未进行任何诊疗操作。次日，医院信息安全审计系统发现异常访问记录并报警。问题：（1）张某的行为违反了哪些患者信息安全管理规定？（2）医院应如何处理此事件？（3）为避免类似事件再次发生，医院可采取哪些改进措施？患者信息安全管理制度试题答案一、单项选择题1.A（解析：最小必要原则要求仅收集与诊疗直接相关的最少信息，避免过度收集。）2.C（解析：根据《数据安全法》，单位主要负责人是信息安全第一责任人。）3.D（解析：去标识化要求无法通过剩余信息识别患者，D项描述相反。）4.A（解析：权限分配需遵循岗位需要，避免权限过大。）5.B（解析：《医疗质量安全事件报告暂行规定》要求24小时内报告。）6.C（解析：报废存储介质需彻底清除数据，防止信息泄露。）7.B（解析：技术防护包括访问控制、审计等系统部署。）8.B（解析：患者有权查阅病历，需核实身份后提供。）9.B（解析：与第三方合作需签订协议并去标识化，避免原始信息泄露。）10.C（解析：《医疗机构网络安全管理规定》要求每年至少一次演练。）二、填空题1.联系方式、病历号（或“住址”“就诊记录”等合理答案）2.合法合规、最小必要3.访问内容、操作类型；54.已采取的补救措施、后续防范建议5.加密算法；脱敏三、判断题1.×（解析：禁止账号共享，实习医生需使用独立账号并经授权。）2.√（解析：匿名化数据无法识别患者，无需单独同意。）3.×（解析：管理员需遵循最小权限原则，不得随意查看。）4.×（解析：纸质档案需物理防护（如监控、双人管理）+访问登记。）5.√（解析：发现违规应立即停用账号，防止进一步泄露。）6.×（解析：密码共享违反访问控制要求，需一人一密。）7.√（解析：责任需分级认定，包括直接、管理及机构责任。）8.×（解析：需对第三方进行安全评估并签订协议。）9.√（解析：所有接触患者信息的人员均需培训。）10.√（解析：电子病历修改需留痕，确保可追溯。）四、简答题1.主要职责分工包括：（1）医院主要负责人：统筹信息安全管理，审批制度与应急预案。（2）信息安全管理委员会：制定政策、监督执行、协调资源。（3）信息科：负责技术防护（如系统加密、访问控制）、日志管理与安全监测。（4）临床/职能部门负责人：落实本科室人员权限管理，监督合规操作。（5）全体员工：遵守制度，保护患者信息，报告安全隐患。2.患者信息访问控制措施包括：（1）一人一账号，禁止共享或借用账号。（2）根据岗位需求分配最小必要权限（如护士仅访问本科室患者信息）。（3）设置登录密码复杂度要求（如8位以上，包含字母、数字、符号）。（4）启用多因素认证（如密码+动态验证码）。（5）限制非工作时间访问，或需额外审批。（6）定期核查账号权限，及时停用离职/调岗人员账号。3.泄露事件应急处置流程：（1）立即阻断：停用涉事账号/系统功能，防止信息进一步泄露。（2）评估影响：确认泄露信息类型（如敏感程度、涉及患者数量）、泄露途径（如内部违规、系统漏洞）。（3）报告与通知：24小时内向卫生健康主管部门报告；72小时内通知受影响患者（如电话、短信），说明泄露内容及补救措施。（4）调查追责：查明责任人员（直接操作人、管理责任人），形成调查报告。（5）整改措施：修复系统漏洞、加强权限管理、开展全员培训。（6）记录归档：保存事件处置记录（含报告、通知、调查结果）至少5年。五、案例分析题（1）违反规定：①非工作时间非必要访问患者信息，违反“最小必要”和“岗位需要”原则；②查询非本科室患者信息，超出权限范围；③未进行诊疗操作，属于违规查询；④违反《患者信息访问日志管理规定》中的“合理使用”要求。（2）处理措施：①立即停用张某账号，冻结其系统访问权限；②信息科调取完整访问日志，核实查询时间、内容及操作痕迹；③由医院监察部门开展调查，确认张某行为动机（如个人原因、利益交换）；④依据《医院员工违规处理办法》，对张某进行处罚（如警告、扣除绩效、暂停执业）；⑤向受影响患者发送书面通知，说明泄露信息内容及医院已采取的补救措施（如加强系统监控）；⑥将事件报告至卫生健康主管部门，备案处理结果。（3）改进措施：①优化权限管理：根据科室、岗位细化权限（如护士仅能访问本科