2026年医院网络安全培训试卷及答案

2026年医院网络安全培训试卷及答案一、单项选择题（共20题，每题2分，总计40分。每题只有1个正确答案）1.根据《医疗卫生机构网络安全管理办法》要求，三级以上公立医院应当配备不少于（）名专职网络安全管理人员，专职人员不得兼任其他非网络安全岗位工作。A.1B.2C.3D.42.下列属于医疗行业核心数据的是（）A.医院公开的专家出诊排班表B.单次普通感冒的门诊诊断记录C.10万例孕妇产前基因检测汇总数据集D.患者门诊缴费电子凭证3.医护人员使用移动护理终端开展床旁护理工作时，下列行为符合安全要求的是（）A.为方便操作，设置自动登录，无需每次输入账号密码B.离开病房时将终端放在患者床头柜上，方便下一班护士使用C.离岗时立即锁屏并退出个人账号，将终端放回固定充电点位D.用移动护理终端连接个人手机热点，传输患者护理记录到私人微信4.某三级甲等医院HIS系统按照等保三级要求配置，设定的恢复时间目标（RTO）为≤4小时，恢复点目标（RPO）为≤30分钟，当前备份策略为每日01:00全量备份，每20分钟增量备份一次，若某日09:47发生系统全瘫痪，无备份数据损坏，请问理论上数据丢失时长和最小恢复时长分别为（）A.7分钟，≤4小时B.27分钟，≤4小时C.20分钟，≤2小时D.47分钟，≤4小时5.医院发生网络安全事件后，应当按照规定在（）小时内向属地卫生健康行政部门、网信部门、公安机关报送初始报告，不得迟报、瞒报、漏报。A.1B.2C.4D.246.下列关于医疗数据对外提供的行为，符合法律法规要求的是（）A.为配合药企开展新药研发，直接将1万份未脱敏的糖尿病患者病历发送给药企B.经患者本人书面授权，将其个人就诊记录提供给其投保的保险公司用于理赔审核C.将全院患者的医保结算数据上传到公开的云存储平台，方便财务人员远程核算D.为提高科研效率，科室自行将收集的5000份肿瘤患者病历对外共享给合作的高校科研团队7.医院部署的生成式医疗大模型用于辅助临床诊断时，下列行为符合安全要求的是（）A.直接将未脱敏的电子病历上传到公网部署的第三方大模型平台训练B.优先选用本地化部署的信创医疗大模型，所有数据处理均在医院内网完成C.允许临床医生直接将大模型生成的诊断结果不经人工审核直接告知患者D.大模型训练完成后，无需定期审计数据使用情况和输出结果合规性8.下列关于医院终端使用的行为，存在安全风险的是（）A.办公电脑设置8位以上包含数字、字母、特殊符号的强密码，每90天更换一次B.外来U盘插入内网终端前，先通过专用杀毒终端进行病毒查杀和审计登记C.将连接内网HIS系统的电脑同时开启WiFi连接互联网，方便查阅医学文献D.离开工位时立即锁定电脑屏幕，退出所有业务系统账号9.根据数据分级分类要求，医疗数据中涉及国家秘密、关系国家安全和公共利益的数据集属于（）A.核心数据B.重要数据C.敏感数据D.一般数据10.医院医保结算系统与互联网的网络隔离要求是（）A.逻辑隔离即可B.无需隔离C.物理隔离D.根据医院情况自行决定11.医护人员发现办公电脑感染勒索病毒后，下列行为错误的是（）A.第一时间断开该电脑的网络连接B.立即重启电脑尝试恢复文件C.及时上报医院信息科运维人员D.不要触碰电脑上的存储介质和加密文件12.医院废弃的存储介质（硬盘、U盘、光盘等）包含敏感医疗数据的，正确的处置方式是（）A.直接扔到垃圾桶B.格式化后捐赠给贫困地区学校C.通过消磁、物理粉碎等方式彻底销毁，做好销毁记录D.送给亲戚朋友使用13.下列关于远程会诊的网络安全要求，说法错误的是（）A.优先使用医院自建的加密远程会诊系统，不得使用未加密的公共视频会议软件传输患者病历B.远程会诊过程中共享的患者敏感数据，会后无需删除，可以保存在公共参会终端C.参与远程会诊的人员需要经过身份认证，无关人员不得进入会诊会场D.远程会诊的所有数据传输过程必须全程加密，留存操作日志不少于6个月14.医院等保三级的业务系统（HIS、LIS、PACS等）的等保测评周期是（）A.每半年一次B.每年一次C.每两年一次D.每三年一次15.下列不属于患者个人敏感信息的是（）A.患者的身份证号、联系方式B.患者的艾滋病感染诊断记录C.患者的基因检测结果D.医院公开的疫情防控科普知识16.医院访客WiFi的安全配置要求，说法正确的是（）A.访客WiFi与内网无需隔离，可以直接访问医院业务系统B.访客WiFi无需实名认证，任何人都可以直接连接C.访客WiFi与内网实现物理或强逻辑隔离，禁止访问内部业务系统，所有上网行为留存日志不少于6个月D.访客WiFi可以使用弱密码，方便来访人员连接17.医院对核心业务系统的权限分配应当遵循（）原则，只为医护人员分配开展工作所需的最小权限，不得过度授权。A.最大权限B.最小必要C.按需分配D.统一分配18.医疗数据出境前，应当按照规定开展（），经相关部门审批通过后方可出境。A.数据安全评估B.数据脱敏C.数据加密D.数据备份19.医院信息科对业务系统的高危漏洞修复时限要求是（）A.72小时内修复B.48小时内修复C.24小时内修复D.根据工作安排随时修复20.下列关于医保数据传输的要求，说法正确的是（）A.医保结算数据可以明文传输到医保局系统B.医保数据传输必须采用国家密码管理局认可的加密算法进行加密传输，全程留痕C.可以用个人微信、QQ传输医保批量结算数据D.医保数据无需备份，丢失后可以向医保局重新申请获取二、多项选择题（共10题，每题3分，总计30分。每题有2个及以上正确答案，多选、少选、错选均不得分）1.下列关于医疗卫生机构网络安全责任人的说法，正确的有（）A.法定代表人是网络安全第一责任人，对本机构网络安全工作负总责B.分管网络安全的院领导是直接责任人，负责具体工作的部署落实C.信息科负责人是网络安全工作的具体执行责任人，负责日常运维和防护D.临床医护人员没有网络安全责任，网络安全都是信息科的工作2.下列属于医院核心业务系统的有（）A.医院信息系统（HIS）B.检验信息系统（LIS）C.影像归档和通信系统（PACS）D.电子病历系统（EMR）3.勒索病毒是当前医疗行业面临的主要网络安全威胁之一，下列属于勒索病毒防范措施的有（）A.部署终端检测与响应系统（EDR），及时更新病毒库和系统补丁B.对不同业务网段进行隔离，避免病毒跨网段扩散C.完善数据备份策略，做到“三备份”（本地备份、异地备份、离线冷备份），定期开展备份恢复演练D.加强全员培训，禁止随意插入外来U盘、点击陌生邮件附件和链接4.医疗数据脱敏的应用场景包括（）A.科研数据对外共享B.医疗大模型训练C.第三方系统对接调试D.临床诊疗5.处理患者个人信息应当遵循的原则有（）A.合法、正当、必要和诚信原则B.公开、透明原则，告知患者信息处理的用途和范围C.最小必要原则，不得收集与诊疗无关的个人信息D.确保信息安全原则，采取必要的防护措施保障患者信息不泄露6.下列属于等保三级医疗系统必须落实的安全防护措施的有（）A.身份鉴别、访问控制B.安全审计、入侵防范C.数据加密、备份恢复D.应急响应预案、定期应急演练7.医院本地化部署医疗大模型的安全要求包括（）A.用于训练的数据集必须经过脱敏处理，去除所有个人可识别信息B.大模型的部署环境与互联网物理隔离，所有数据处理均在内网完成C.对大模型的输出结果进行人工审核，避免出现错误诊断和违规内容D.定期开展大模型安全评估，排查数据泄露风险和合规风险8.下列属于医院网络安全事件的有（）A.勒索病毒攻击导致HIS系统瘫痪，门诊停诊2小时B.5000份患者电子病历被泄露并在暗网售卖C.医保结算系统被非法入侵，100万元医保基金被盗取D.办公电脑故障导致单个患者的病历丢失9.临床医护人员应当履行的网络安全义务有（）A.妥善保管个人业务系统账号密码，不得转借他人使用B.严格按照操作规范使用业务系统，不得随意下载、复制、传播敏感医疗数据C.发现网络安全隐患和事件第一时间上报信息科D.主动参加医院组织的网络安全培训，提高安全意识10.信创环境下医院网络安全面临的主要风险点有（）A.信创系统的漏洞适配和补丁更新不及时B.信创终端与现有业务系统的兼容性问题导致的安全漏洞C.信创软件的供应链安全风险D.运维人员对信创系统的安全配置不熟悉导致的配置错误三、判断题（共10题，每题1分，总计10分。正确打√，错误打×）1.患者家属索要患者的就诊记录，无需经过患者本人授权，医护人员可以直接提供。（）2.临床医生因工作忙，可以将自己的HIS系统账号借给规培生使用，方便其开具检查单。（）3.医院核心业务系统的备份数据应当定期开展恢复演练，确保备份数据可用。（）4.医疗数据属于医院所有，医院可以随意处置患者的个人信息，无需告知患者。（）5.医院工作人员可以用个人云盘存储患者的电子病历和科研数据，方便随时查阅。（）6.远程办公时，医护人员可以用个人家用电脑登录医院HIS系统开具处方，提高工作效率。（）7.已经完成脱敏处理的医疗数据集，对外共享前仍然需要开展安全评估，履行审批流程。（）8.网络安全只是信息科的工作，临床医护人员不需要学习网络安全知识。（）9.医院医保结算系统应当与互联网物理隔离，禁止跨网访问。（）10.废弃的包含医疗数据的硬盘，只要格式化后就可以随意丢弃。（）四、案例分析题（共2题，每题7分，总计14分）1.案例背景：2025年12月，某地级市三甲医院突发勒索病毒攻击事件，事件起因是发热门诊护士为方便患者拷贝肺部CT影像，将患者自带的未经过杀毒的U盘直接插入连接内网PACS系统的终端，导致终端感染勒索病毒，由于医院未做网段隔离，病毒迅速扩散至HIS、EMR、医保结算等核心系统，导致全院门诊挂号、缴费、取药、检验检查等业务全停8小时，约4.2万份患者电子病历被加密，攻击者索要300比特币赎金，同时1.2万份敏感患者数据被泄露到暗网售卖，医院被卫生健康行政部门通报批评，并处以50万元罚款，相关责任人被问责。请结合上述案例回答以下问题：（1）本次事件暴露出该医院在网络安全管理方面存在哪些漏洞？（3分）（2）该医院应当采取哪些整改措施防范类似事件再次发生？（4分）2.案例背景：2026年3月，某肿瘤医院为提高临床诊断效率，采购了某科技公司开发的医疗大模型辅助诊断系统，为了提升大模型的诊断准确率，医院科研部门未经审批，擅自将12万份未脱敏的肿瘤患者电子病历上传到该科技公司部署在公网的大模型训练平台，导致患者数据泄露，被网信部门依据《个人信息保护法》处以80万元罚款，对医院法定代表人处以5万元罚款。请结合上述案例回答以下问题：（1）该医院的行为违反了哪些法律法规和行业规范？（3分）（2）医院在使用生成式医疗大模型时应当遵循哪些安全管理流程？（4分）五、实操处置题（共1题，总计6分）你是某三甲医院信息科的网络安全运维人员，某日上午10点接到门诊内科护士的上报，称其工位的内网办公电脑桌面的所有电子病历文件都被加上了.lock后缀，弹出勒索提示窗口要求支付赎金解密。请写出你处置该事件的完整流程。参考答案及解析一、单项选择题答案及解析1.答案：B解析：根据《医疗卫生机构网络安全管理办法》第十八条规定，三级以上医疗卫生机构应当配备不少于2名专职网络安全管理人员，二级及以下医疗卫生机构应当配备不少于1名专职或兼职网络安全管理人员。2.答案：C解析：医疗核心数据是指关系国家安全、公共利益的重要医疗数据集，10万例孕妇产前基因检测汇总数据集属于涉及公共利益的核心资源，A属于公开信息，B、D属于个人敏感信息。3.答案：C解析：移动护理终端存储大量患者敏感信息，离岗时必须锁屏退出账号，放回固定点位，A选项自动登录存在账号被盗用风险，B选项可能导致终端丢失或信息泄露，D选项用公共网络传输敏感数据违反安全规定。4.答案：A解析：数据丢失时长计算公式为：=本次故障发生时间为09:47，最近一次增量备份完成时间为09:40，因此=095.答案：B解析：《医疗卫生机构网络安全管理办法》规定，医疗卫生机构发生网络安全事件后，应当在2小时内向属地卫生健康行政部门、网信、公安等部门报送初始报告，事件处置完成后10个工作日内报送最终报告。6.答案：B解析：A选项未脱敏病历对外提供违反《个人信息保护法》，C选项将医保数据上传公网云存储存在泄露风险，D选项科室未经审批对外共享敏感数据违反数据管理规定，B选项经患者本人授权提供个人信息用于理赔符合法律要求。7.答案：B解析：公网部署的第三方大模型存在数据泄露风险，医疗大模型应当优先本地化部署，所有数据处理在内网完成，A选项上传未脱敏病历到公网违规，C选项大模型输出结果必须经人工审核，D选项必须定期审计大模型的合规性。8.答案：C解析：连接内网业务系统的终端同时连接互联网属于“双网并行”，会导致内网暴露在互联网威胁下，极易被黑客入侵和病毒感染，违反网络隔离要求。9.答案：A解析：医疗数据分为核心数据、重要数据、敏感数据、一般数据四级，涉及国家秘密、关系国家安全和公共利益的数据集属于核心数据，实行最严格的防护措施。10.答案：C解析：根据《医保基金监管条例》和医疗行业网络安全要求，医保结算系统属于核心业务系统，必须与互联网实现物理隔离，禁止跨网访问，防止医保数据泄露和基金被盗取。11.答案：B解析：感染勒索病毒后重启电脑可能会破坏加密文件的结构，导致无法解密，同时可能触发病毒的传播机制，扩大感染范围，因此禁止随意重启感染终端。12.答案：C解析：包含敏感医疗数据的废弃存储介质必须通过消磁、物理粉碎等方式彻底销毁，防止数据被恢复泄露，销毁过程要做好记录，留存备查。13.答案：B解析：远程会诊过程中共享的患者敏感数据会后必须彻底删除，不得保存在公共参会终端，防止数据泄露，A、C、D选项均符合远程会诊安全要求。14.答案：B解析：根据《网络安全等级保护条例》规定，等保三级的信息系统应当每年开展一次等级保护测评，等保四级系统每半年开展一次测评。15.答案：D解析：患者的身份信息、健康状况、诊疗记录、基因检测结果等都属于个人敏感信息，医院公开的疫情防控科普知识属于公共信息，不属于个人敏感信息。16.答案：C解析：访客WiFi必须与医院内网实现强逻辑或物理隔离，禁止访问内部业务系统，所有上网行为要进行实名认证，日志留存不少于6个月，A、B、D选项均存在安全风险。17.答案：B解析：权限分配应当遵循最小必要原则，只为用户分配完成其岗位职责所需的最小权限，避免过度授权导致的数据泄露和违规操作风险。18.答案：A解析：根据《数据出境安全评估办法》规定，医疗数据属于敏感数据，出境前必须开展数据安全评估，经网信部门审批通过后方可出境。19.答案：C解析：医疗行业核心业务系统的高危漏洞必须在24小时内完成修复，中危漏洞72小时内修复，低危漏洞15天内修复，防止漏洞被黑客利用发起攻击。20.答案：B解析：医保数据属于敏感数据，传输过程必须采用国家密码管理局认可的SM2、SM4等加密算法进行加密传输，全程留痕，A选项明文传输存在泄露风险，C选项用公共通讯工具传输医保数据违规，D选项医保数据必须按照要求备份。二、多项选择题答案及解析1.答案：ABC解析：医疗卫生机构网络安全实行“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，法定代表人是第一责任人，分管领导是直接责任人，信息科是执行责任人，临床医护人员同样负有网络安全责任，不得违规操作业务系统和泄露患者信息，因此D选项错误。2.答案：ABCD解析：HIS、LIS、PACS、EMR均属于医院核心业务系统，承载着诊疗、结算、病历等核心功能，按照等保三级要求进行防护。3.答案：ABCD解析：四个选项均为勒索病毒的有效防范措施，终端防护、网段隔离、数据备份、人员培训是防范勒索病毒的四大核心手段。4.答案：ABC解析：临床诊疗场景需要使用患者的真实完整信息，不需要脱敏，科研共享、大模型训练、第三方系统对接调试场景下需要对数据进行脱敏，去除个人可识别信息，防止数据泄露。5.答案：ABCD解析：四个选项均为《个人信息保护法》规定的个人信息处理应当遵循的基本原则。6.答案：ABCD解析：四个选项均为等保三级系统必须落实的安全防护措施，涵盖技术防护和管理防护两个层面。7.答案：ABCD解析：四个选项均为本地化部署医疗大模型的安全要求，从数据输入、环境隔离、输出审核、定期评估四个层面保障大模型的安全合规。8.答案：ABC解析：单个办公电脑故障导致单个患者病历丢失属于普通设备故障，不属于网络安全事件，A、B、C选项均属于影响业务运行、数据泄露的网络安全事件。9.答案：ABCD解析：四个选项均为临床医护人员应当履行的网络安全义务，医护人员是网络安全防护的第一道防线，必须严格遵守安全管理规定。10.答案：ABCD解析：四个选项均为信创环境下医院面临的主要安全风险点，需要从补丁适配、兼容性测试、供应链审核、人员培训等方面加以防范。三、判断题答案及解析1.答案：×解析：患者的就诊记录属于个人敏感信息，向家属提供必须经过患者本人书面授权，除非涉及法定的紧急救治情形。2.答案：×解析：业务系统账号实行“一人一号、谁使用谁负责”的原则，不得转借他人使用，防止出现违规操作无法追溯责任。3.答案：√解析：备份数据的可用性是灾备的核心，必须定期开展恢复演练，确保发生故障时备份数据可以正常恢复。4.答案：×解析：患者个人信息的所有权属于患者本人，医院只是受托处理，处置患者信息必须符合法律规定，告知患者并取得授权。5.答案：×解析：个人云盘的安全性无法保障，禁止用个人云盘存储敏感医疗数据，防止数据泄露。6.答案：×解析：个人家用电脑的安全防护水平不足，禁止用个人设备登录医院核心业务系统，远程办公应当使用医院配发的专用终端，通过VPN加密接入。7.答案：√解析：脱敏后的医疗数据集仍然可能包含可以间接识别个人的信息，对外共享前必须开展安全评估，履行内部审批流程。8.答案：×解析：网络安全是全院所有人的责任，临床医护人员的操作行为直接影响网络安全，必须参加培训，提高安全意识。9.答案：√解析：医保结算系统涉及医保基金安全，必须与互联网物理隔离，防止非法入侵。10.答案：×解析：格式化无法彻底删除硬盘上的数据，通过技术手段可以恢复，必须通过消磁、物理粉碎等方式彻底销毁。四、案例分析题参考答案1.（1）暴露的漏洞：①终端防护和准入管控缺失，未对外来U盘进行杀毒审计和准入控制，允许未授权的存储介质直接接入内网终端；②网段隔离不到位，未对核心业务系统和终端网段进行严格隔离，导致病毒跨网段扩散；③人员安全培训不到位，医护人员安全意识薄弱，随意插入外来存储介质；④数据备份机制不完善，未落实离线冷备份要求，导致核心数据被加密后无法快速恢复；⑤数据分类分级和加密措施不到位，敏感数据未加密存储，导致数据泄露后被非法售卖。（答对任意3点得3分）（2）整改措施：①技术层面：部署终端准入控制系统（NAC），禁止未授权的存储介质接入内网，对所有外来U盘实行“先杀毒、后登记、再使用”的管理机制；对核心业务网段和终端网段进行严格隔离，限制跨网段访问；部署EDR终端防护系统，及时更新病毒库和系统补丁；完善数据备份策略，落实本地、异地、离线冷备份的三备份机制，定期开展备份恢复演练；对核心敏感数据进行加密存储，防止数据泄露。②管理层面：加强全员网络安全培训，每月开展一次安全意识培训，考核合格后方可上岗；完善网络安全管理制度，明确存储介质管理、数据对外共享、权限分配等流程；定期开展应急演练，提高勒索病毒等事件的处置能力；落实网络安全责任制，明确各岗位的安全责任，对违规操作的人员进行问责。（答对任意4点得4分）2.（1）违反的法律法规：①《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》关于个人信息处理和数据安全的规定；②《医疗卫生机构网络安全管理办法》《医疗