医院信息安全管理试题及答案

医院信息安全管理试题及答案一、单项选择题（每题2分，共20分）1.依据《个人信息保护法》，医院在处理患者个人信息时，下列哪项不属于“最小必要原则”的要求？A.仅收集诊断所需的姓名、年龄、病症等信息B.限制访问权限至仅治疗相关医护人员C.存储患者10年前的体检报告用于科研D.系统默认关闭非必要数据字段显示功能2.医院信息系统中，“最小权限原则”主要应用于：A.患者就诊卡充值金额限制B.医护人员系统账号权限分配C.医疗设备采购预算审批D.电子病历存储容量管理3.下列哪类医疗数据属于《卫生行业信息安全等级保护工作的指导意见》中规定的“最高等级保护对象”？A.门诊大厅电子屏播放的就诊流程B.住院患者24小时生命体征监测数据C.医院官网发布的专家门诊排班表D.后勤部门的办公用品采购清单4.医院信息系统发生数据泄露事件后，按照《网络安全法》要求，应当在多长时间内向属地公安机关报告？A.12小时内B.24小时内C.48小时内D.72小时内5.对存储患者影像检查结果（如CT、MRI）的服务器进行加密时，最适宜采用的加密方式是：A.链路加密（传输过程加密）B.文件级加密（单个文件加密）C.数据库加密（结构化数据加密）D.全磁盘加密（存储介质整体加密）6.医院移动护理终端（PDA）管理中，下列哪项措施不符合信息安全要求？A.绑定设备MAC地址，限制仅能接入医院内网B.安装第三方应用市场下载的护理记录软件C.设置60秒无操作自动锁屏功能D.定期推送系统安全补丁7.关于医疗数据备份，下列说法正确的是：A.只需在本地服务器进行实时备份B.备份介质应离线存储并定期检测C.电子病历备份无需包含修改日志D.备份频率可根据科室需求自行调整8.医院信息安全管理体系（ISMS）建设的核心依据是：A.《医院信息系统基本功能规范》B.ISO/IEC27001信息安全管理体系标准C.《电子病历系统功能应用水平分级评价标准》D.《医疗保障基金使用监督管理条例》9.下列哪项属于“零信任架构”在医院信息系统中的典型应用？A.医护人员凭工牌直接进入机房B.访问电子病历系统需二次身份验证C.影像科服务器仅对本院IP开放访问D.门诊收费系统使用固定IP登录10.对医院信息系统进行渗透测试时，关键测试点不包括：A.弱口令漏洞检测B.患者隐私数据脱敏效果验证C.消防系统联动响应时间D.跨站脚本攻击（XSS）防护能力二、填空题（每空2分，共20分）1.根据《数据安全法》，医疗数据处理者应当建立数据安全（）机制，定期开展数据安全风险评估。2.医院核心业务系统（如HIS、EMR）的访问日志至少需保留（）年。3.医疗敏感信息主要包括患者个人身份信息、（）信息和医疗健康信息三类。4.网络安全等级保护2.0中，医院三级信息系统的安全防护需满足（）个层面的要求。5.防止医疗数据被未授权修改的关键安全技术是（）。6.移动医疗设备接入医院内网时，必须通过（）验证和安全基线检查。7.医院信息安全事件分为特别重大、重大、较大和（）四个等级。8.电子病历系统应实现（）功能，确保任何对病历的修改都可追溯操作人、时间和内容。9.医院信息安全培训应覆盖（）、技术人员和患者三类主体。10.对存储患者遗传信息的数据库，应采用（）加密与访问控制双重防护。三、判断题（每题2分，共20分。正确填“√”，错误填“×”）1.医院内部员工因工作需要，可以默认获得所有医疗信息访问权限。（）2.为方便远程会诊，医生个人手机连接医院内网无需额外安全管控。（）3.医疗数据脱敏后可以直接用于科研，无需患者再次授权。（）4.医院信息系统的安全漏洞修复应优先于功能更新。（）5.第三方运维人员进入机房维护时，只需登记身份信息即可操作设备。（）6.患者通过医院APP查询检验报告时，系统应显示完整的身份证号。（）7.医院应当为每个医护人员分配唯一的系统账号，禁止共用账号。（）8.定期更换系统管理员密码属于访问控制措施。（）9.发生勒索软件攻击时，应立即断开受感染设备与网络的连接。（）10.医院信息安全投入应不低于信息化总投入的5%。（）四、简答题（每题8分，共32分）1.简述医院开展信息安全风险评估的主要步骤。2.列举医院信息系统访问控制的实施原则，并说明关键措施。3.说明医疗数据脱敏的常用方法及适用场景。4.阐述医院信息安全应急响应预案应包含的核心内容。五、案例分析题（8分）某三甲医院HIS系统突发异常，所有患者挂号、收费功能瘫痪，登录界面显示“数据已加密，请支付50比特币解锁”。经技术排查，发现感染源为收费员小张使用私人U盘拷贝收费数据时引入勒索病毒。请分析：（1）此次事件暴露的主要信息安全漏洞；（2）应采取的应急处置措施；（3）后续预防改进建议。答案一、单项选择题1.C2.B3.B4.B5.D6.B7.B8.B9.B10.C二、填空题1.责任2.63.诊疗过程4.七5.数字签名（或完整性校验）6.身份7.一般8.痕迹保留9.管理人员10.加密算法三、判断题1.×2.×3.×4.√5.×6.×7.√8.√9.√10.√四、简答题1.主要步骤：①资产识别（梳理信息系统、数据、设备等资产清单）；②威胁分析（评估网络攻击、人为误操作、自然灾害等威胁源）；③脆弱性评估（检测系统漏洞、管理缺陷、人员安全意识薄弱点）；④风险计算（结合资产价值、威胁可能性、脆弱性严重程度确定风险等级）；⑤风险处置（制定规避、转移、降低或接受风险的策略）；⑥结果验证（跟踪整改措施落实情况并重新评估）。2.实施原则：最小权限原则（仅授予完成工作所需的最低权限）、职责分离原则（不相容岗位权限分离）、动态调整原则（根据岗位变动及时更新权限）。关键措施：①基于角色的访问控制（RBAC），按科室、职称设定角色权限；②多因素身份认证（密码+动态令牌/指纹）；③权限审批流程（新增/修改权限需部门负责人审核）；④定期权限审计（每季度核查账号权限合理性）。3.常用方法及场景：①脱敏替换（将身份证号后6位替换为“”，适用于患者基本信息展示）；②随机化（将检查结果数值随机偏移±5%，适用于科研数据共享）；③掩码处理（手机号显示为“1381234”，适用于对外查询界面）；④加密脱敏（对遗传信息等高度敏感数据使用对称加密，仅授权人员可解密）；⑤截断处理（仅保留住院号前8位，适用于统计报表）。4.核心内容：①组织架构（明确应急指挥组、技术组、联络组职责）；②事件分级标准（根据影响范围、数据泄露量等划分等级）；③响应流程（监测预警→事件确认→隔离阻断→数据恢复→原因分析→报告通报）；④资源保障（备用服务器、应急通讯工具、外部技术支持联系方式）；⑤后期处置（事件复盘报告、责任认定、整改措施）；⑥演练计划（每半年至少开展1次桌面演练，每年1次实战演练）。五、案例分析题（1）暴露的漏洞：①移动存储设备管理缺失（未禁止私人U盘接入内网）；②终端安全防护不足（未安装杀毒软件或开启U盘自动扫描）；③员工安全意识薄弱（收费员缺乏勒索病毒防范知识）；④数据备份机制缺陷（可能未定期离线备份或备份未验证可用性）；⑤访问控制漏洞（收费终端可能具有过高系统权限）。（2）应急处置措施：①立即断开HIS系统与外网连接，隔离受感染终端；②启用备用服务器恢复核心业务（如手工挂号、纸质收费单）；③调用离线备份数据进行系统恢复（需验证备份完整性）；④向公安机关网络安全部门报告事件；⑤对其他终端进行全面病毒扫描，清除潜在威胁；⑥安抚患者，通过公告说明事件进展。（3）预防改进建议：①实施移动存储设备白名单管理（仅允许医院注册U盘接入）；