2026年医疗卫生电子病历安全系统知识考察试题及答案

2026年医疗卫生电子病历安全系统知识考察试题及答案一、单项选择题1.根据《全国医院信息化建设标准与规范（试行）》以及2025年最新修订的《医疗卫生机构网络安全管理办法》，面向公众提供服务的医疗卫生机构电子病历系统安全等级保护最低要求为几级？A.二级B.三级C.四级D.一级答案：B解析：根据现行监管要求，所有开展诊疗服务的二级以上医疗机构电子病历系统需符合网络安全等级保护三级要求，部分核心诊疗数据库已要求按照等保四级进行防护，因此全行业最低要求为三级，本题选B。2.电子病历系统中，下列哪一项数据属于最高级别的核心敏感个人健康数据？A.患者挂号科室信息B.患者门诊主诉信息C.患者性传播疾病诊疗记录D.患者缴费记录答案：C解析：根据《个人信息保护法》《医疗卫生机构网络安全管理办法》，敏感个人健康信息中，特殊病种诊疗记录如性病、艾滋病、精神疾病、肿瘤等涉及患者重大隐私，敏感度远高于普通就诊信息，需要采取最高级别的防护措施，本题选C。3.下列哪项技术不属于电子病历数据静态存储安全防护常用技术？A.全磁盘加密B.字段级脱敏加密C.入侵检测系统IDSD.同态加密答案：C解析：入侵检测系统IDS属于动态网络访问层的安全防护技术，主要用于监测网络层面的异常入侵行为，不属于静态存储层面的安全防护技术，其余三项均为针对静态存储数据的加密防护手段，本题选C。4.2025年国家卫健委修订的《电子病历应用管理规范》明确要求，二级以上医疗机构电子病历系统所有操作日志至少留存多少年？A.3年B.5年C.6年D.终身留存答案：B解析：规范明确要求，电子病历系统所有操作日志至少留存5年，涉及医疗纠纷、特殊病种的操作日志需永久留存，最低要求为5年，本题选B。5.电子病历系统发生重大数据泄露事件后，按照现行《网络安全事件报告管理办法》要求，运营机构应当在多少小时内向监管部门报送？A.24小时B.48小时C.72小时D.96小时答案：B解析：电子病历系统属于医疗卫生关键信息基础设施范畴，根据《网络安全事件报告管理办法》，关键信息基础设施发生重大网络安全事件，运营者应当在48小时内向履行监管职责的部门报送，本题选B。6.当医护人员正式调离岗位后，医疗机构应当对其原电子病历系统账号采取哪项合规处理措施？A.立即冻结，满半年后注销B.立即禁用并注销所有账号权限C.保留账号供后续历史病例调阅使用D.修改密码后移交科室统一使用答案：B解析：根据《电子病历系统安全管理规范》，工作人员调离岗位、结束进修、离职后，应当立即禁用并注销其所有电子病历系统账号权限，从源头避免非授权访问风险，本题选B。二、多项选择题1.电子病历安全防护体系中，针对访问控制的合规要求包括下列哪些内容？A.基于角色的权限分离B.最小权限分配原则C.超权限操作需要双人审批D.跨机构调阅电子病历需要患者明确授权答案：ABCD解析：电子病历访问控制应当符合角色权限分离、最小权限分配的核心要求，避免超权限访问；高风险操作如批量导出、跨院调阅、修改核心病历内容需要双人审批；跨机构调阅电子病历进行共享、会诊等操作，必须获得患者明确的知情授权，以上四项均符合合规要求，因此全选。2.下列哪些行为属于电子病历系统违规操作，存在明确数据安全风险？A.护士借用自己账号帮助医生开具电子医嘱B.医生为方便查房，将自己的账号密码告知规培医生登录使用C.信息科运维人员为排查故障，远程登录电子病历数据库后留存了患者原始数据样本D.出院患者申请调阅自己的电子病历，医疗机构要求患者提供有效身份证件后予以复印答案：ABC解析：选项A、B均属于账号转借，违反电子病历一人一号一权的安全管理要求，易引发非授权访问风险；选项C运维人员未经审批授权留存患者原始数据样本，属于违规获取患者隐私信息，存在泄露风险；选项D符合患者调阅自身电子病历的管理要求，不属于违规操作，因此选ABC。3.根据2025年《电子病历数据安全管理规范》，电子病历数据容灾备份的合规要求包括下列哪些内容？A.三级医院应当同时具备本地容灾和异地容灾备份系统B.全量数据备份周期不得超过一周C.增量备份不得超过一天D.备份数据应当定期开展恢复验证答案：ACD解析：规范明确要求，三级医院必须部署本地加异地的双容灾备份体系，增量备份每日至少开展一次，备份数据每季度至少开展一次恢复验证，确保备份数据可用；全量数据备份的要求为周期不超过一个月，因此选项B错误，本题选ACD。4.人工智能技术在当前电子病历安全防护中的合规应用场景包括下列哪些？A.基于大模型的异常操作行为检测B.自动化电子病历脱敏处理C.智能预警非授权数据外传行为D.辅助开展患者隐私信息去标识化处理答案：ABCD解析：当前AI技术已经在电子病历安全领域实现以上四类成熟应用：通过AI建模可以识别异常访问操作的行为特征，实现提前预警；AI可以提升自动化脱敏、去标识化处理的准确率，降低人工处理的误差；AI还可以对终端外传患者数据的行为进行实时识别预警，因此四项均正确，全选。三、判断题1.为了教学科研需要，医疗机构可以直接使用未脱敏的电子病历数据开展校外人员参与的研究项目。答案：错误解析：使用未脱敏的患者原始电子病历数据开展对外合作、研究项目的，必须获得患者书面知情同意，并且通过机构伦理审查，对数据进行合规脱敏去标识化处理，不符合要求不得对外提供，因此题干表述错误。2.电子病历系统的安全管理责任主体是提供信息系统建设的第三方软件服务商，医疗机构不承担主要安全责任。答案：错误解析：根据《医疗卫生机构网络安全管理办法》，电子病历系统的安全管理责任主体为医疗机构，医疗机构应当落实数据安全和隐私保护主体责任，第三方服务商仅承担合同约定的相应责任，因此题干表述错误。3.零信任架构应用于电子病历安全系统的核心原则是“永不信任，始终验证”，对每一次电子病历访问请求都需要进行身份验证和权限校验。答案：正确解析：零信任架构取消了传统网络架构的内部默认信任，核心就是对所有访问请求持续验证，适配电子病历移动办公、远程会诊、多终端访问的安全需求，符合电子病历安全防护的发展方向，因此题干表述正确。4.远程医疗场景下，会诊机构调阅申请机构的电子病历数据，不需要再获得患者授权，由申请机构统一负责即可。答案：错误解析：跨机构调阅电子病历用于远程医疗会诊，仍然需要明确获得患者的知情授权同意，双方机构都需要承担对应的数据安全责任，因此题干表述错误。5.加密电子病历存储数据时，密钥应当和加密数据存储在同一服务器，方便管理调用。答案：错误解析：加密密钥应当进行独立存储管理，不得与加密数据存放在同一服务器，避免密钥泄露导致全部加密数据被破解，因此题干表述错误。四、案例分析题案例：某市级三级医院2025年10月发生两起电子病历数据安全事件：第一起，一名外科医生将自己的电子病历账号出津贴进修医生使用，进修医生为完成博士论文研究，未经过审批将所在科室1200份未脱敏的甲状腺癌患者电子病历导出，存储在个人笔记本电脑中，该笔记本电脑在外出参会途中被盗，导致数据流出。第二起，该医院信息科完成系统升级后，为方便运维，将所有运维账号密码统一记录在运维手册中，存放在信息科公共办公区，半年前有第三方设备厂商工作人员进入办公区对接业务，私下复制了该运维手册，随后利用获取的运维账号批量下载了近万份患者的挂号诊疗信息，在暗网出售，直到被网安部门通报，医院才发现该事件。问题1：该医院在电子病历安全管理中存在哪些合规问题？请至少列出4项。参考答案：（1）账号权限管理严重缺失，未落实一人一号一权的基本要求，未建立定期账号梳理机制，未及时发现并制止账号转借行为，进修人员结束学习后也未及时回收账号权限；（2）数据出口管控缺失，未对批量导出电子病历数据的操作设置审批流程和异常预警，也未对终端外传患者数据的行为进行监控拦截；（3）运维安全管理不规范，未对运维账号进行分级权限管理，违规将账号密码存放在公共可接触区域，也未落实运维账号定期更换密码的要求，所有运维操作未留下完整可审计的日志；（4）人员安全培训不到位，医务人员和运维人员数据安全意识淡薄，不清楚违规出借账号、违规导出原始数据的安全风险和法律责任；（5）异常监测预警机制不完善，未对批量下载、非工作时间异常访问、跨区域传输等异常操作进行实时监测，发生数据泄露后无法及时发现，直到监管部门通报才察觉，延误了处置时机。问题2：针对该事件，医疗机构应当采取哪些合规的后续处置和整改措施？参考答案：（1）立即启动网络安全事件应急预案，组织专业人员排查确认泄露数据的范围、涉及的患者人数，按照监管要求在规定时限内向属地卫健委、网信部门、公安部门报送事件详情；（2）按照法律法规要求及时告知所有受影响患者数据泄露的情况和潜在风险，通过官方渠道发布公告，配合患者开展后续风险防范；（3）对全院所有电子病历系统账号进行全面梳理排查，立即注销离职、进修结束、调离岗位人员的所有账号，整改账号转借问题，重新落实一人一号一权、定期改密的管理制度；（4）完善运维安全管理制度，对运维账号进行分级权限管理