医院信息安全试题及答案

医院信息安全试题及答案一、单项选择题（每题2分，共20题，合计40分）1.依据《信息安全技术网络安全等级保护基本要求》，三级医院核心业务信息系统（如HIS、电子病历系统）应实施的等级保护级别为：A.第一级（用户自主保护级）B.第二级（系统审计保护级）C.第三级（安全标记保护级）D.第四级（结构化保护级）2.某医院护士需查询患者检验报告时，系统仅开放其所在科室患者的报告权限，未开放其他科室数据访问功能。这体现了信息安全的哪项原则？A.最小权限原则B.责任分离原则C.纵深防御原则D.木桶效应原则3.根据《电子病历应用管理规范（试行）》，门（急）诊电子病历的保存时间自患者最后一次就诊之日起不少于：A.5年B.10年C.15年D.30年4.医院允许医生使用个人手机接入医院内网调阅病历，需优先采取的安全措施是：A.开放Wi-Fi无需认证B.部署移动设备管理（MDM）系统C.仅允许iOS系统接入D.不限制访问时间段5.发现患者个人信息泄露后，医院应在多长时间内向属地卫生健康主管部门报告？A.12小时B.24小时C.48小时D.72小时6.为保障电子病历传输安全，需对传输过程中的数据进行加密。以下最适合的加密算法是：A.DES（56位密钥）B.RSA（1024位密钥）C.AES（256位密钥）D.MD5（哈希算法）7.按照《网络安全法》要求，医院信息系统日志（包括访问、操作、异常等）的保存时间应不少于：A.3个月B.6个月C.1年D.2年8.下列哪项不属于《个人信息保护法》中“患者个人信息”的范畴？A.患者姓名、身份证号B.就诊科室、门诊号C.临床检验结果、影像报告D.医院内部会议记录9.医院信息系统发现恶意软件（如勒索病毒）感染后，应首先采取的措施是：A.断开感染设备与网络的连接B.使用杀毒软件全盘扫描C.通知所有用户立即修改密码D.备份未感染设备的数据10.医院部署人脸识别门禁系统用于访问限制区（如机房、药房），其核心安全目标是：A.提升通行效率B.实现身份认证的唯一性C.降低硬件成本D.替代传统门禁卡11.某医院将患者用药记录提供给药企用于药物疗效研究，需满足的关键前提是：A.药企支付费用B.患者明确同意（或匿名化处理）C.研究结果归医院所有D.通过医院内部审批即可12.信息系统上线前的安全测试不包括：A.渗透测试B.漏洞扫描C.性能测试D.代码审计13.医院员工离职后，信息安全管理部门应立即执行的操作是：A.收回工作电脑B.注销其所有系统账号C.通知其原科室负责人D.备份其工作文件14.为防止医院内网终端设备感染“钓鱼软件”，最有效的措施是：A.禁止安装聊天软件B.部署终端安全管理系统（如EDR）C.定期更换终端设备D.限制互联网访问15.电子病历系统中“医生修改患者诊断记录”的操作，系统必须自动记录的信息不包括：A.修改时间B.修改前内容C.修改后内容D.修改医生的手机号16.医院与第三方公司合作开发医疗APP，需在合同中明确的安全条款不包括：A.数据存储位置（境内/境外）B.数据泄露的责任划分C.第三方公司员工的薪资标准D.数据访问的审计要求17.下列哪项属于“结构化数据”？A.医生手写的查房记录照片B.患者住院费用明细（Excel表格）C.手术录像视频文件D.护士录入的护理日志文本18.医院信息系统遭遇DDoS攻击时，主要影响的是：A.数据机密性B.数据完整性C.系统可用性D.身份认证有效性19.为保护患者隐私，医院网站公示的“就诊须知”中不应包含：A.挂号流程B.收费标准C.患者姓名列表（含诊断结果）D.医保报销政策20.某科室医生发现其账号被他人冒用查询病历，应首先：A.自行修改密码B.向信息中心报告账号异常C.删除异常操作记录D.联系医院保卫科二、多项选择题（每题3分，共10题，合计30分。每题至少2个正确选项，多选、错选、漏选均不得分）1.以下属于患者敏感信息的有：A.患者血型B.精神疾病诊断结果C.住院费用总额D.HIV检测阳性结果2.医院信息系统访问控制的常见措施包括：A.基于角色的访问控制（RBAC）B.双因素认证（如账号+动态验证码）C.默认所有用户拥有最高权限D.定期审核账号权限3.关于医疗数据备份，正确的做法是：A.本地备份与异地备份结合B.备份数据无需加密存储C.定期测试备份数据的可恢复性D.仅备份当天新增数据4.以下属于网络安全事件的有：A.护士误删电子病历B.黑客攻击导致HIS系统瘫痪C.医生账号密码泄露被他人使用D.系统升级导致短暂无法登录5.医院信息安全培训应包含的内容有：A.患者隐私保护法规（如《个人信息保护法》）B.常见网络攻击手段（如钓鱼邮件、勒索病毒）C.信息系统操作规范（如账号使用、数据查询）D.医院后勤设备维护流程6.移动终端（如医生手机）接入医院内网的安全管理要点包括：A.强制安装医院指定的安全软件B.限制访问的业务系统范围C.定期检查设备是否安装恶意软件D.允许访问所有互联网网站7.电子病历安全存储需满足的要求有：A.采用冗余存储（如RAID技术）B.非授权用户无法读取或修改C.存储介质丢失后数据不可恢复（如加密）D.仅存储最近1年的病历数据8.与第三方合作方（如检验设备厂商）共享患者数据时，需采取的安全措施包括：A.签订数据安全协议B.对合作方进行安全评估C.共享数据前进行脱敏处理（如去标识化）D.允许合作方将数据用于其他商业用途9.漏洞管理的主要步骤包括：A.漏洞扫描与识别B.漏洞风险评估C.漏洞修复与验证D.漏洞信息公开（不区分敏感程度）10.医院灾难恢复计划（DRP）的核心要素包括：A.关键业务系统的恢复优先级B.备用数据中心的位置与资源C.灾难发生后的沟通流程（如通知患者、员工）D.每年仅进行1次纸上演练即可三、判断题（每题1分，共10题，合计10分。正确填“√”，错误填“×”）1.二级医院的信息系统只需满足一级等级保护要求即可。（）2.为方便操作，系统默认密码可设置为“123456”并长期使用。（）3.未造成数据泄露的未授权访问行为不属于安全事件。（）4.患者影像数据（如CT片）离线存储时无需加密。（）5.员工离职后，其账号应在3个工作日内注销。（）6.医生使用医院公共Wi-Fi访问电子病历系统是安全的。（）7.为便于追溯，系统日志可由操作人员自行修改。（）8.数据脱敏（如将姓名替换为“某先生”）后即可完全消除隐私风险。（）9.生物识别（如指纹）比密码更安全，因此无需设置备用认证方式。（）10.医院应急预案需每年至少进行1次实战演练。（）四、简答题（每题5分，共5题，合计25分）1.简述医院信息系统实施等级保护的具体要求（至少列出3项）。2.说明患者隐私数据访问控制的实施步骤（至少包含4个环节）。3.电子病历数据加密应关注哪些技术要点？（至少列出4项）4.列举移动终端接入医院内网的5项安全管理措施。5.简述网络安全事件应急响应的主要流程（至少包含5个步骤）。五、案例分析题（共15分）案例：某三甲医院放射科医生张某，因个人兴趣通过医院PACS系统查询了20名非本科室患者的CT影像（无诊疗需要），系统日志记录了其操作行为。1周后，医院信息安全部门通过日志审计发现此问题。问题：（1）张某的行为违反了哪些信息安全原则或规定？（5分）（2）医院应采取哪些后续处理措施？（5分）（3）为防止类似事件再次发生，需完善哪些安全管理机制？（5分）参考答案一、单项选择题1.C2.A3.C4.B5.B6.C7.B8.D9.A10.B11.B12.C13.B14.B15.D16.C17.B18.C19.C20.B二、多项选择题1.ABD2.ABD3.AC4.ABC5.ABC6.ABC7.ABC8.ABC9.ABC10.ABC三、判断题1.×2.×3.×4.×5.×6.×7.×8.×9.×10.√四、简答题1.等级保护具体要求包括：①制定并落实安全管理制度（如访问控制、日志管理）；②部署技术防护措施（如防火墙、入侵检测系统、加密技术）；③开展安全测评（每年至少1次三级系统测评）；④建立安全事件应急响应机制；⑤对相关人员进行安全培训。（任意3项即可）2.实施步骤：①数据分类（区分一般信息与敏感信息）；②角色定义（如医生、护士、管理员）；③权限分配（根据角色设定最小必要权限）；④审批流程（高敏感数据需额外审批）；⑤日志记录与审计（监控所有访问行为）；⑥定期权限复核（删除冗余权限）。（任意4项即可）3.技术要点：①选择符合国家标准的加密算法（如AES-256、SM4）；②区分传输加密与存储加密（传输用TLS，存储用文件/数据库加密）；③密钥管理（密钥生成、存储、轮换需安全，避免硬编码）；④加密范围覆盖全生命周期（创建、传输、存储、归档）；⑤加密不影响系统功能（如查询效率、数据关联）。（任意4项即可）4.安全管理措施：①设备注册（仅允许登记备案的设备接入）；②强制安装MDM/EMM软件（实现远程锁定、擦除）；③访问控制（限制仅能访问授权业务系统）；④网络隔离（通过VPN接入，与互联网逻辑隔离）；⑤安全检测（定期扫描设备病毒、恶意软件）；⑥身份认证（双因素认证，如账号+动态码）。（任意5项即可）5.应急响应流程：①事件发现（通过监控、日志或报告）；②事件确认（评估是否为真实安全事件及影响范围）；③事件隔离（断开感染设备、关闭漏洞服务）；④事件处置（清除恶意软件、修复漏洞、恢复数据）；⑤事件报告（向主管部门、患者等相关方报告）；⑥事件总结（分析原因，完善防护措施）。（任意5项即可）五、案例分析题（1）违反内容：①最小权限原则（超出诊疗需要访问数据）；②《个人信息保护法》（未经患者同意或无合理诊疗目的处理个人信息）；③医院内部信息安全管理制度（如数据访问规范）；④《医疗机构病历管理规定》（非本机构诊疗需要不得查阅病历）。（任意5点，合理即可）（2）处理措施：①立即注销张某账号的非必要访问权限；②调取完整操作日志，核实具体违规数据范围；③对张某进行内部处罚（如警告、