医院信息安全考核试题及答案

医院信息安全考核试题及答案一、单项选择题（每题2分，共20分）1.依据《中华人民共和国个人信息保护法》，医疗机构处理患者个人信息时，下列哪项不属于“最小必要原则”的要求？A.仅收集诊疗必需的姓名、年龄、诊断结果B.存储时间不超过诊疗需要的合理期限C.向第三方提供患者联系方式用于术后随访D.系统权限设置仅开放至医生诊疗所需功能2.医院HIS系统（医院信息系统）若存储50万份以上患者个人信息，其网络安全等级保护应定为几级？A.一级（自主保护）B.二级（指导保护）C.三级（监督保护）D.四级（强制保护）3.某医生使用个人手机登录医院移动查房系统查看患者病历，最可能引发的安全风险是？A.手机丢失导致病历泄露B.系统运行速度变慢C.患者信息统计误差D.医生账号登录超时4.医院信息系统日志应至少保存多长时间？A.3个月B.6个月C.1年D.2年5.下列哪项不属于医院信息安全“三员分立”中的角色？A.系统管理员B.安全审计员C.网络维护员D.安全管理员6.对患者电子病历进行数据脱敏时，正确的操作是？A.将“张三”替换为“Z某”B.保留完整身份证号前14位C.公开患者联系方式用于学术研究D.直接删除所有诊断结论字段7.医院部署入侵检测系统（IDS）的主要目的是？A.提升网络访问速度B.监控异常流量和攻击行为C.管理员工上网行为D.备份重要业务数据8.关于移动存储设备（U盘、移动硬盘）使用，下列哪项符合信息安全要求？A.护士使用私人U盘拷贝患者检查报告带回家处理B.医院统一采购的U盘需经过安全格式化后分配使用C.医生将科室数据拷贝至私人移动硬盘用于家庭办公D.后勤部门U盘与医疗系统U盘混用9.医院开展信息安全培训时，重点培训对象不包括？A.新入职护士B.信息科技术人员C.后勤保洁人员D.门诊收费员10.当发现医院HIS系统出现大规模数据篡改（非人为操作）时，第一应急措施是？A.立即断开系统与互联网连接B.通知全体医护人员暂停使用系统C.联系厂商远程修复漏洞D.启动数据备份恢复流程二、多项选择题（每题3分，共15分，少选、错选均不得分）1.医院信息安全管理制度应包含以下哪些内容？A.账号权限分配与定期审核规则B.数据备份与恢复操作流程C.员工信息安全培训计划D.医疗设备采购招标标准2.下列哪些行为违反医院信息安全规定？A.医生使用科室公共账号登录电子病历系统B.护士在值班电脑上登录个人微信C.信息科工程师定期更改核心系统管理员密码D.实习生将患者影像资料拷贝至手机用于学习3.医院信息系统访问控制应遵循的原则包括？A.最小权限原则（仅开放必要功能）B.双人操作原则（关键操作需两人确认）C.动态调整原则（根据岗位变动更新权限）D.匿名访问原则（隐藏操作者身份）4.患者个人信息泄露的可能途径有？A.医院官网被黑客攻击导致数据库泄露B.医护人员误将病历拍照发送至工作群C.信息系统存在未修复的SQL注入漏洞D.患者本人通过自助机打印完整病历5.关于医院信息安全应急演练，正确的做法是？A.每年至少开展1次全流程演练B.演练场景应包含数据泄露、系统宕机等C.演练后需形成总结报告并改进漏洞D.仅信息科人员参与演练三、判断题（每题2分，共10分，正确打“√”，错误打“×”）1.医院信息系统只要部署了防火墙，就无需定期进行漏洞扫描。（）2.医护人员离职时，只需收回工牌，无需注销其信息系统账号。（）3.患者电子病历的访问记录属于安全审计范围，需长期保存。（）4.为方便协作，科室可将公共账号密码写在便签上贴于电脑旁。（）5.医院使用的第三方软件（如检验系统）需经过安全评估方可接入内网。（）四、简答题（每题8分，共32分）1.简述医院落实网络安全等级保护制度（等保2.0）的主要措施。2.列举医院信息系统数据备份的三种常见方式，并说明其适用场景。3.当发现医护人员违规查询非职责范围内患者病历，应如何处理？4.医院移动终端（如医生PAD、护士PDA）的信息安全管理需关注哪些要点？五、案例分析题（23分）2023年10月，某三甲医院急诊科护士李某在交接班时，误将患者张某的CT检查报告（含姓名、身份证号、影像图片）发送至医院公共工作群（群内有200余名医护人员）。10分钟后，李某发现错误并撤回消息，但已有3名护士下载了该报告。问题：（1）分析此次事件暴露的信息安全隐患。（8分）（2）简述医院应采取的应急处理步骤。（7分）（3）提出预防类似事件的改进措施。（8分）答案一、单项选择题1.C2.C3.A4.B5.C6.A7.B8.B9.C10.A二、多项选择题1.ABC2.ABD3.ABC4.ABC5.ABC三、判断题1.×2.×3.√4.×5.√四、简答题1.主要措施包括：（1）开展系统定级备案，明确HIS、电子病历等核心系统的安全保护等级；（2）落实技术防护，如部署防火墙、入侵检测系统、终端安全管理软件；（3）加强管理措施，制定安全管理制度、人员安全管理规范；（4）定期开展安全测评，每年进行等保测评并整改问题；（5）建立应急响应机制，制定预案并开展演练。2.三种常见备份方式及适用场景：（1）本地实时备份：通过存储设备同步复制数据，适用于HIS系统等需要秒级恢复的核心业务；（2）异地离线备份：将数据拷贝至物理隔离的存储介质（如磁带）并存放至异地，适用于防止本地灾难（如火灾）导致的数据丢失；（3）云备份：通过加密传输至第三方云平台存储，适用于非核心数据（如历史病历）的长期归档。3.处理流程：（1）立即锁定违规账号，暂停其系统访问权限；（2）调取系统日志，核实查询时间、内容及操作细节；（3）与当事人谈话，确认违规动机（如误操作或故意）；（4）根据医院制度（如《信息安全违规处理办法》）给予处罚（警告、扣罚绩效、停职等）；（5）将事件通报全院，加强全员信息安全教育；（6）检查账号权限分配是否合理，优化权限管理规则。4.管理要点：（1）设备准入控制：仅允许医院统一采购、注册的移动终端接入内网；（2）身份认证：采用“账号+动态密码+设备绑定”多重认证；（3）数据安全：限制终端存储敏感数据（如禁止下载完整电子病历），启用加密传输；（4）使用规范：禁止连接公共WiFi、安装非授权APP；（5）监控与审计：记录终端登录、操作日志，定期检查违规行为；（6）丢失应对：设备丢失后立即远程锁定或擦除数据。五、案例分析题（1）暴露隐患：①医护人员信息安全意识不足，缺乏“最小化传播”的操作规范；②工作群管理不严格，未设置敏感信息发送限制（如禁止发送带个人信息的附件）；③终端设备（手机/电脑）未启用“文件发送前二次确认”功能；④应急响应机制中“撤回”功能存在时效性漏洞（部分人员已下载）；⑤对患者个人信息的分级保护不到位（CT报告属于高敏感信息）。（2）应急处理步骤：①立即通知群内所有成员删除已下载的报告，说明事件性质及法律后果；②联系3名已下载报告的护士，确认是否已传播至群外，要求其书面承诺未扩散；③向患者张某致歉并说明情况，告知信息泄露范围及已采取的补救措施；④信息科调取李某的操作日志，确认发送时间、设备及账号信息；⑤医院内部通报事件，明确责任（李某负直接责任，科室护士长负管理责任）；⑥向卫生健康主管部门报告（如涉及50人以上信息泄露需72小时内上报）。（3）改进措施：①加强培训：将“敏感信息发送规范”纳入新员工入职培训及月度考核；②技术防控：在工作群平台设置“个人信息屏蔽”功能（如自动隐藏身份证号、手机号），