医院信息安全培训试题及答案

医院信息安全培训试题及答案一、单项选择题（每题2分，共20题，合计40分）1.依据《个人信息保护法》，医院在处理患者个人信息时，以下哪项不属于“最小必要原则”的要求？A.仅收集与诊疗直接相关的信息B.存储时间不超过诊疗需要的合理期限C.向第三方共享全部患者就诊记录D.处理范围不超出实现诊疗目的的必需范围2.医院核心业务系统（如HIS、电子病历系统）应按照国家网络安全等级保护制度的几级要求进行保护？A.一级（用户自主保护）B.二级（系统审计保护）C.三级（安全标记保护）D.四级（结构化保护）3.以下哪类医疗数据不属于《个人信息保护法》定义的“敏感个人信息”？A.患者HIV检测结果B.患者姓名及就诊卡号C.精神科患者的诊断记录D.孕妇产前筛查的基因检测数据4.医院信息系统登录时，符合安全规范的密码策略是？A.长度6位，包含数字和字母B.长度8位，包含数字、字母和特殊符号，每90天强制更换C.与员工工号相同，方便记忆D.所有账号使用统一初始密码“123456”5.某护士使用工作电脑连接私人U盘拷贝资料，可能导致的风险不包括？A.U盘携带恶意病毒感染医院内网B.患者信息被复制到私人设备C.触发医院内网准入控制系统警报D.提升电脑运行速度6.医院信息科工程师需远程维护外地分院HIS系统，正确的操作流程是？A.直接使用个人微信远程控制软件登录B.通过医院专用VPN通道，使用双因素认证登录C.使用分院值班医生的账号密码登录D.将管理员账号密码通过短信发送给分院联系人7.依据《医疗质量安全核心制度要点》，患者电子病历的访问权限应遵循？A.所有医护人员均可查看全院病历B.仅经授权的医务人员查看与其诊疗相关的病历C.实习医生可使用带教老师账号查看病历D.行政人员因工作需要可随意调取患者病历8.医院发现存储患者影像资料的移动硬盘丢失，第一时间应采取的措施是？A.隐瞒不报，避免影响医院声誉B.立即启动信息安全事件应急预案C.要求全体员工自查是否误拿D.更换硬盘管理员的账号密码9.以下哪项不符合医院信息系统数据备份要求？A.每日自动备份核心业务数据B.备份数据存储于医院内网服务器C.定期进行备份数据恢复测试D.离线备份介质存放在与主系统同楼层的保险箱10.某医生通过医院内网邮箱发送患者检验报告时，错误将邮件发送至公共邮箱，该行为违反了？A.数据分类分级管理制度B.网络安全等级保护制度C.个人信息最小够用原则D.以上均是11.医院信息系统权限管理应遵循的核心原则是？A.权限越大越方便工作B.最小权限原则（仅授予完成工作必需的权限）C.新员工入职时默认开通所有权限D.离职员工权限可在30个工作日内回收12.以下哪种场景符合医疗数据脱敏要求？A.将“张三，女，32岁，诊断为肺癌”脱敏为“张，女，3岁，诊断为”B.将患者身份证号完整保留在统计报表中C.在学术论文中使用患者真实姓名和影像资料D.向保险公司提供患者完整诊疗记录时不做任何处理13.医院信息安全培训的重点对象不包括？A.新入职医护人员B.信息科技术人员C.后勤保洁人员D.外包服务供应商14.某科室使用微信群传递患者检查结果，可能引发的风险是？A.信息被群内无关人员查看B.聊天记录无法长期保存C.微信服务器在境外可能导致数据出境D.以上均是15.医院机房管理中，不符合安全规范的是？A.安装门禁系统，仅授权人员进入B.服务器控制台未设置登录密码C.定期检查消防和监控设备D.记录所有人员进出机房的时间和事由16.依据《网络安全法》，医院作为网络运营者，应当履行的义务不包括？A.制定内部安全管理制度和操作规程B.采取技术措施防范计算机病毒和网络攻击C.对患者个人信息泄露事件隐匿不报D.为公安机关依法维护国家安全提供技术支持17.以下哪项属于社会工程学攻击手段？A.黑客通过漏洞攻击医院挂号系统B.冒充医院IT部门打电话索要员工账号密码C.病毒通过邮件附件感染电脑D.物理破坏医院网络交换机18.医院移动医疗APP（如患者端）收集信息时，正确的做法是？A.强制用户同意收集位置信息才能使用预约功能B.在隐私政策中明确告知收集的信息类型和用途C.将用户信息共享给未说明的第三方广告公司D.存储用户密码明文方便找回19.信息安全事件等级划分中，“导致500名以上患者个人信息泄露”属于？A.一般事件（IV级）B.较大事件（III级）C.重大事件（II级）D.特别重大事件（I级）20.医院信息安全管理体系（ISMS）的核心文件不包括？A.信息安全方针B.应急预案C.员工考勤制度D.访问控制流程二、判断题（每题1分，共10题，合计10分）1.医院实习生因工作需要，可以临时使用带教老师的账号登录电子病历系统。（）2.为方便工作，医护人员可以将账号密码写在便签上贴在电脑显示器上。（）3.医院信息系统升级时，无需告知患者可能影响数据访问的情况。（）4.发现同事使用弱密码时，应及时提醒并督促修改。（）5.医疗废物处理记录属于非敏感信息，可随意共享。（）6.医院与第三方合作开发患者满意度调查系统时，需签订数据安全协议。（）7.手机连接医院Wi-Fi时，无需进行身份认证。（）8.定期修改账号密码可以有效降低被暴力破解的风险。（）9.打印患者检验报告后，未使用的废纸可以直接投入普通垃圾桶。（）10.医院信息安全是信息科的责任，与临床医护人员无关。（）三、简答题（每题5分，共6题，合计30分）1.简述医院患者个人信息处理的“告知-同意”原则具体要求。2.列举医院信息系统访问控制的三种常见技术措施。3.说明医疗数据备份的“3-2-1”原则具体内容。4.当发现工作电脑感染病毒时，应采取哪些应急措施？5.简述医院信息安全培训的主要内容（至少列出5项）。6.列举三种常见的医疗信息泄露途径。四、案例分析题（每题10分，共2题，合计20分）案例1：某医院护士小王在下班前使用工作电脑处理患者出院结算，因急于下班未退出系统即离开。次日发现该电脑上的50条患者姓名、住院号、费用明细被未授权人员查看。问题：（1）小王的行为违反了哪些信息安全规定？（2）医院应如何改进管理以避免类似事件？案例2：某医院与第三方公司合作开发“智慧病房”系统，合同约定第三方公司负责系统开发和运维。上线3个月后，患者反映收到多条推销药品的短信，经核查发现患者手机号被第三方公司员工非法出售。问题：（1）医院在此次事件中存在哪些管理漏洞？（2）应采取哪些补救措施？答案一、单项选择题1.C2.C3.B4.B5.D6.B7.B8.B9.D10.D11.B12.A13.C14.D15.B16.C17.B18.B19.C20.C二、判断题1.×2.×3.×4.√5.×6.√7.×8.√9.×10.×三、简答题1.（1）告知内容：处理信息的种类、用途、方式、保存期限、共享对象等；（2）告知形式：清晰易懂的书面或电子方式（如隐私政策）；（3）同意要求：需患者或其法定代理人主动、明确同意；（4）特殊情况：紧急救治无法取得同意时，应记录理由并事后补充告知。2.（1）基于角色的访问控制（RBAC）：根据岗位分配权限（如医生仅能查看本科室病历）；（2）双因素认证（2FA）：登录时需密码+短信验证码/动态令牌；（3）访问日志审计：记录所有账号的登录时间、操作内容并定期核查；（4）账号权限定期复核：每季度检查权限是否与当前岗位职责匹配。3.“3-2-1”原则指：（1）3份备份：核心数据至少保留3份副本；（2）2种介质：使用本地硬盘+磁带/光盘等不同存储介质；（3）1份离线：至少1份备份存储在离线设备（如离线硬盘）并异地存放（如不同楼层或院区）。4.（1）立即断开网络连接（拔掉网线/关闭Wi-Fi），防止病毒扩散；（2）通知信息科，说明感染症状（如弹窗、文件加密）；（3）保护现场，不进行任何操作（如删除文件）；（4）配合信息科进行病毒检测和数据恢复；（5）记录事件发生时间、操作步骤，提交事件报告。5.（1）法律法规：《网络安全法》《个人信息保护法》《数据安全法》等；（2）医院信息安全制度：访问控制、数据备份、应急预案等；（3）操作规范：密码管理、设备使用（如U盘、移动硬盘）、信息传递（如邮件、微信）；（4）风险识别：社会工程学攻击（如钓鱼邮件）、恶意软件特征；（5）责任意识：个人信息泄露的法律后果、患者隐私保护的伦理要求。6.（1）内部人员违规操作：如医护人员私自拷贝患者信息出售；（2）设备丢失或被盗：移动硬盘、笔记本电脑等存储设备未加密导致数据泄露；（3）系统漏洞：未及时修复的信息系统安全漏洞被黑客攻击；（4）第三方合作风险：外包公司员工非法获取数据；（5）社交工具误用：在微信群、邮件中误发患者信息。四、案例分析题案例1答案：（1）违反规定：①未遵守“最小权限”原则，离开电脑时未退出系统导致权限失控；②违反“终端安全管理”规定，未对工作终端进行锁屏保护；③未履行“信息安全责任”，未采取必要措施防止信息被未授权访问。（2）改进措施：①强制设置屏幕自动锁定（如5分钟无操作自动锁屏）；②开展“离开即锁屏”专项培训；③在信息系统中增加“超时自动退出”功能；④安装终端监控软件，记录未退出系统的异常行为并预警；⑤将信息安全操作纳入员工绩效考核。案例2答案：（1）管理漏洞：①未对第三方公司进行充分的安全评估（如资质、历史安全记录）；②数据安全协议缺失或条款不完整（未明确数据使用范围、保密义务、违约责任）；③未对第三方系统进行安全监测（如未定期检