医院信息技术信息安全保密管理试题及答案

医院信息技术信息安全保密管理试题及答案一、单项选择题（每题2分，共20题，40分）1.医院信息系统中，患者电子病历属于哪类数据？A.公开数据B.内部公开数据C.敏感数据D.非结构化数据答案：C2.根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），三级信息系统的安全保护要求中，访问控制应实现：A.自主访问控制B.强制访问控制C.基于角色的访问控制D.基于属性的访问控制答案：B3.医院信息系统中，以下哪项不属于“最小权限原则”的应用？A.护士账号仅能查看本科室患者信息B.信息科工程师账号具备所有系统管理员权限C.财务人员账号仅能访问收费和结算模块D.实习生账号仅能查看教学所需的匿名化病历答案：B4.医院移动存储设备（如U盘）管理中，正确的做法是：A.允许个人U盘连接医院内网电脑B.所有移动存储设备需经过安全检测并注册备案C.未注册的移动存储设备可临时用于传输非敏感数据D.移动存储设备密码可设置为6位数字答案：B5.医院信息系统发生患者信息泄露事件后，应在多长时间内向卫生健康主管部门报告？A.1小时B.2小时C.24小时D.48小时答案：C6.以下哪种加密技术适用于电子病历传输过程中的实时加密？A.哈希算法（如SHA-256）B.对称加密（如AES）C.非对称加密（如RSA）D.数字签名答案：B7.医院信息系统日志应至少保留多长时间？A.3个月B.6个月C.1年D.2年答案：D8.关于终端设备安全管理，错误的做法是：A.禁止安装非必要软件B.定期更新操作系统补丁C.允许使用默认管理员账户登录D.启用屏幕自动锁定功能（10分钟无操作）答案：C9.医院信息安全培训的最小周期应为：A.每季度一次B.每半年一次C.每年一次D.每两年一次答案：C10.发现系统漏洞后，高风险漏洞的修复时限应为：A.24小时内B.3个工作日内C.7个工作日内D.15个工作日内答案：A11.以下哪项不属于《个人信息保护法》中“最小必要原则”的要求？A.仅收集诊疗必需的个人信息B.存储时间不超过诊疗所需期限C.向第三方提供完整患者信息用于学术研究D.对超出必要范围的信息进行匿名化处理答案：C12.医院互联网医院系统与内网系统之间应部署：A.防火墙B.入侵检测系统（IDS）C.网闸D.虚拟专用网络（VPN）答案：C13.电子病历打印后，剩余空白页的正确处理方式是：A.直接丢弃B.交回护士站统一保管C.撕毁后丢弃D.加盖“作废”章并归档答案：D14.以下哪项属于社会工程学攻击手段？A.暴力破解登录密码B.通过电话冒充医生索要患者信息C.利用系统漏洞植入木马D.伪造医院官网链接窃取账号答案：B15.医院信息系统应急预案的演练频率应为：A.每季度一次B.每半年一次C.每年一次D.每两年一次答案：B16.关于数据备份，错误的做法是：A.采用“两地三中心”备份策略B.备份数据与生产数据存储在同一机房C.定期验证备份数据的可恢复性D.备份介质离线存储并标注密级答案：B17.员工离职时，信息安全管理的关键步骤是：A.收回工作电脑B.注销所有系统账号C.签署离职保密协议D.以上均是答案：D18.医院信息系统中，患者姓名、身份证号、联系方式属于：A.一般信息B.敏感个人信息C.匿名化信息D.去标识化信息答案：B19.以下哪项不符合密码策略要求？A.密码长度8位以上B.包含字母、数字和特殊符号C.每90天强制更换D.重复使用最近3次密码答案：D20.发生信息安全事件后，第一响应措施是：A.通知媒体B.断开受影响设备网络连接C.修改所有用户密码D.向主管部门报告答案：B二、多项选择题（每题3分，共10题，30分）1.医院信息安全的基本要素包括：A.保密性B.完整性C.可用性D.可追溯性答案：ABC2.以下属于三级信息系统（如电子病历系统）必须实施的保护措施有：A.网络入侵检测与防御B.重要数据加密存储C.安全审计全覆盖D.定期进行渗透测试答案：ABCD3.患者个人信息可能泄露的途径包括：A.员工违规调阅并外传B.系统日志未加密存储C.移动设备丢失D.第三方运维人员未授权访问答案：ABCD4.医院移动存储设备管理应满足：A.绑定使用人身份B.记录全生命周期操作日志C.禁止存储高于设备密级的信息D.定期进行病毒扫描答案：ABCD5.信息安全事件报告应包含的内容有：A.事件发生时间、地点B.受影响系统及数据范围C.初步原因分析D.已采取的应急措施答案：ABCD6.符合安全密码策略的要求包括：A.禁止使用姓名、生日等弱密码B.不同系统使用不同密码C.支持多因素认证（如短信验证码+密码）D.密码复杂度自动检测答案：ABCD7.第三方运维服务管理应采取的措施有：A.签订保密协议B.限制运维时间和操作范围C.全程监控并记录操作日志D.收回临时账号权限后删除操作记录答案：ABC8.数据备份的基本要求包括：A.至少保留2个异质备份B.备份数据与生产数据物理隔离C.定期进行恢复测试D.备份介质标注密级和有效期限答案：ABCD9.网络边界防护的常用手段包括：A.防火墙策略配置B.入侵防御系统（IPS）C.虚拟专用网络（VPN）D.端口扫描检测答案：AB10.安全审计应重点关注的内容有：A.敏感数据访问记录B.特权账号操作日志C.系统漏洞修复情况D.网络流量异常行为答案：ABD三、判断题（每题1分，共10题，10分）1.为方便记忆，允许使用“123456”作为默认登录密码。（×）2.离线存储的移动硬盘无需加密，因未连接网络不会泄露。（×）3.未授权访问患者信息但未外传，不属于违规行为。（×）4.移动设备（如手机）连接医院内网需经过安全准入认证。（√）5.电子病历调阅权限可根据科室统一分配，无需细化到个人。（×）6.为提高效率，允许在公共WiFi环境下登录医院信息系统。（×）7.员工离职后，其账号应在3个工作日内注销。（√）8.系统日志可由运维人员随意修改以掩盖操作失误。（×）9.向科研机构提供患者数据前，必须进行脱敏处理。（√）10.信息安全演练只需技术部门参与，无需临床科室配合。（×）四、简答题（每题5分，共6题，30分）1.简述等级保护2.0对医院三级信息系统的核心要求。答：等级保护2.0要求三级系统实施“一个中心，三重防护”体系：安全通信网络（边界防护、入侵检测）、安全区域边界（访问控制、恶意代码防范）、安全计算环境（身份鉴别、数据加密）、安全管理中心（集中监控、审计分析）。需通过技术和管理措施实现对数据、系统、网络的全方位保护，确保在受到较大威胁时仍能保障业务连续性和数据安全。2.说明医院数据分类分级的具体步骤。答：步骤包括：（1）数据识别：梳理所有业务系统数据资产，明确数据类型（如患者基本信息、诊疗记录、财务数据）；（2）分级标准制定：依据《个人信息保护法》《医疗机构病历管理规定》，按敏感性分为公开、内部、敏感、高度敏感四级；（3）分级标记：对每类数据标注密级和保护要求；（4）动态调整：根据业务变化和法规更新，定期重新评估数据等级。3.如何在医院信息系统中实施“最小权限原则”？答：（1）角色划分：根据岗位职责定义角色（如医生、护士、药师），明确每个角色的系统访问范围；（2）权限分配：按角色分配最小必要权限（如护士仅能查看本科室患者的护理记录）；（3）权限审计：定期核查账号权限，删除冗余权限；（4）临时权限管理：对临时需要高权限的操作（如系统维护），实施“一事一授权”并记录日志。4.列举电子病历传输过程中的主要安全措施。答：（1）加密传输：使用TLS1.2以上协议对传输数据加密；（2）身份验证：发送方和接收方需通过数字证书或多因素认证确认身份；（3）完整性校验：通过哈希算法（如SHA-256）验证数据在传输中未被篡改；（4）访问控制：限制传输路径仅允许授权设备和IP地址；（5）日志记录：完整记录传输时间、发送方、接收方、数据量等信息。5.简述医院信息安全事件应急响应的主要流程。答：（1）事件发现：通过监控系统或员工报告发现异常（如数据泄露、系统宕机）；（2）事件确认：验证事件真实性，评估影响范围（如涉及患者数量、系统功能受损程度）；（3）应急处置：隔离受影响设备，阻断攻击路径，启用备份系统恢复业务；（4）原因分析：追溯事件源头（如漏洞利用、内部违规），确定责任主体；（5）修复改进：修复系统漏洞，完善安全策略，对相关人员进行培训；（6）报告归档：向主管部门提交事件报告，整理应急过程文档留存。6.说明终端设备安全管理的主要措施。答：（1）准入控制：所有终端需通过安全检测（如无恶意软件、补丁更新）方可接入内网；（2）软件管控：禁用非必要软件安装，白名单管理办公软件；（3）补丁管理：定期推送操作系统和应用程序补丁，高风险补丁24小时内修复；（4）外设管理：禁用USB存储、蓝牙等接口，确需使用时经审批并注册设备；（5）密码策略：强制设置复杂密码，启用屏幕自动锁定；（6）日志审计：记录终端登录、文件操作、外设使用等行为日志，保留至少2年。五、案例分析题（每题10分，共2题，20分）案例1：某医院护士张某因工作需要调阅患者李某的电子病历，后将病历截图通过个人微信发送给朋友讨论病情，导致患者信息泄露。问题：分析事件原因、责任主体及改进措施。答案：原因：（1）张某安全意识薄弱，违规外传患者信息；（2）系统未对调阅行为进行敏感操作提醒；（3）缺乏截图或复制敏感数据的管控措施。责任主体：张某（直接责任）、信息科（未落实数据输出管控）、护理部（安全培训不到位）。改进措施：（1）加强员工保密培训，明确“严禁通过私人通讯工具传输患者信息”；（2）在电子病历系统中禁用截图、复制功能，或对输出内容添加水印（如“内部资料，严禁外传”）；（3）部署终端监控软件，记录所有外接设备和网络传输行为；（4）完善考核机制，将信息安全违规纳入员工绩效扣分项。案例2：某医院信息科外包运维人员王某在未授权情况下，使用默认账号登录检验系统，导出5000条患者检验报告用于个人研究，后被审计日志发现。问题：分析管理漏洞及应采取的防范措施。答案：管理漏洞：（1）第三方运