第第PAGE\MERGEFORMAT1頁共NUMPAGES\MERGEFORMAT1頁醫(yī)療信息安全試題題庫及答案解析（含答案及解析）姓名：科室/部門/班級：得分：題型單選題多選題判斷題填空題簡答題案例分析題總分得分

一、單選題（共20分）

1.醫(yī)療信息系統(tǒng)中，以下哪項屬于敏感個人信息？（）

A.患者姓名

B.患者身份證號

C.患者性別

D.患者所在科室

2.根據(jù)國家衛(wèi)生健康委《醫(yī)療健康信息安全管理辦法》，醫(yī)療機構對患者電子病歷的保密期限至少為多少年？（）

A.5年

B.10年

C.15年

D.患者去世后50年

3.在醫(yī)療信息系統(tǒng)運維過程中，以下哪項操作不屬于日常安全巡檢的范疇？（）

A.檢查系統(tǒng)日志中的異常登錄記錄

B.定期更新系統(tǒng)補丁

C.評估患者隱私泄露風險

D.測試系統(tǒng)應急響應流程

4.醫(yī)療機構使用第三方云服務存儲患者電子病歷時，應優(yōu)先選擇符合以下哪個等級的安全認證？（）

A.ISO27001

B.HIPAA

C.ISO27017

D.PCIDSS

5.患者授權其子女查詢電子病歷，醫(yī)療機構在執(zhí)行該操作前需要履行的程序是？（）

A.直接執(zhí)行查詢并記錄操作

B.確認患者已簽署《授權同意書》并注明子女姓名和權限

C.僅需子女提供身份證明即可

D.通過電話確認患者意愿

6.醫(yī)療信息系統(tǒng)發(fā)生數(shù)據(jù)泄露事件后，醫(yī)療機構應優(yōu)先采取的措施是？（）

A.立即公開泄露事件

B.評估泄露范圍和影響

C.查找泄露原因并修復漏洞

D.聯(lián)系媒體發(fā)布聲明

7.根據(jù)中國《網(wǎng)絡安全法》，醫(yī)療機構采購醫(yī)療信息系統(tǒng)時應重點核查供應商的？（）

A.市場份額

B.軟件開發(fā)能力

C.信息安全資質（如等保三級）

D.服務價格

8.醫(yī)療機構內部員工離職時，以下哪項操作符合患者信息安全管理要求？（）

A.僅刪除該員工賬號

B.刪除該員工賬號并強制修改所有相關系統(tǒng)的密碼

C.僅注銷該員工賬號

D.僅限制該員工訪問權限

9.醫(yī)療信息系統(tǒng)中的數(shù)據(jù)加密技術主要解決以下哪個問題？（）

A.防止數(shù)據(jù)丟失

B.防止數(shù)據(jù)被非法訪問

C.提高系統(tǒng)運行速度

D.簡化用戶登錄流程

10.醫(yī)療機構對患者信息進行匿名化處理時，以下哪項操作可能影響后續(xù)數(shù)據(jù)使用？（）

A.刪除所有可識別個人身份的字段

B.使用哈希算法對身份證號加密

C.替換真實姓名為隨機編號

D.僅保留患者就診日期等非身份信息

11.醫(yī)療信息系統(tǒng)用戶權限管理中，“最小權限原則”的核心要求是？（）

A.賦予用戶所有必要權限

B.限制用戶僅能訪問其工作所需的數(shù)據(jù)和功能

C.允許用戶自行調整權限

D.只設置管理員權限

12.醫(yī)療機構對患者信息進行分類分級管理時，以下哪類信息敏感度最高？（）

A.患者既往病史

B.患者過敏藥物記錄

C.患者身份證號

D.患者醫(yī)保卡號

13.醫(yī)療信息系統(tǒng)日志記錄中，以下哪項信息不屬于關鍵審計追蹤內容？（）

A.系統(tǒng)管理員登錄時間

B.患者電子病歷修改記錄

C.系統(tǒng)自動備份狀態(tài)

D.用戶密碼修改操作

14.醫(yī)療機構與第三方軟件供應商簽訂保密協(xié)議時，應重點明確的內容是？（）

A.供應商的收費標準

B.患者信息的保密責任和義務

C.供應商的市場推廣計劃

D.供應商的員工薪酬制度

15.醫(yī)療信息系統(tǒng)物理環(huán)境安全中，以下哪項措施主要防止數(shù)據(jù)被竊?。浚ǎ?/p>

A.安裝UPS電源

B.設置門禁系統(tǒng)和視頻監(jiān)控

C.配置防火墻

D.定期進行數(shù)據(jù)備份

16.醫(yī)療機構對患者信息進行去標識化處理時，以下哪項操作符合要求？（）

A.刪除所有患者姓名

B.使用加密算法對身份證號處理

C.將患者信息與統(tǒng)計數(shù)據(jù)庫關聯(lián)

D.替換患者姓名為隨機編號

17.醫(yī)療信息系統(tǒng)發(fā)生拒絕服務攻擊時，以下哪項措施優(yōu)先考慮？（）

A.立即發(fā)布公告說明情況

B.暫停系統(tǒng)服務進行修復

C.啟動應急預案并隔離攻擊源

D.聯(lián)系黑客進行談判

18.醫(yī)療機構內部信息安全培訓中，以下哪項內容屬于“意識培訓”范疇？（）

A.漏洞掃描技術操作

B.密碼設置規(guī)范

C.數(shù)據(jù)加密原理

D.等級保護測評流程

19.醫(yī)療信息系統(tǒng)數(shù)據(jù)備份策略中，以下哪項不屬于常見備份類型？（）

A.全量備份

B.增量備份

C.災難備份

D.混合備份

20.醫(yī)療機構對患者信息進行風險評估時，以下哪項因素權重最高？（）

A.數(shù)據(jù)存儲量

B.數(shù)據(jù)敏感度

C.系統(tǒng)使用人數(shù)

D.系統(tǒng)開發(fā)成本

二、多選題（共15分，多選、錯選不得分）

21.醫(yī)療機構信息系統(tǒng)安全等級保護測評中，以下哪些環(huán)節(jié)屬于測評范圍？（）

A.系統(tǒng)定級

B.安全建設整改

C.等級測評

D.安全運維監(jiān)督

22.醫(yī)療機構員工信息安全意識培訓中，以下哪些行為屬于違規(guī)操作？（）

A.使用生日作為系統(tǒng)登錄密碼

B.將患者信息截圖發(fā)送至個人郵箱

C.定期修改系統(tǒng)密碼

D.不隨意連接公共WiFi處理患者信息

23.醫(yī)療信息系統(tǒng)日志管理中，以下哪些日志需要長期保存？（）

A.系統(tǒng)操作日志

B.用戶登錄日志

C.數(shù)據(jù)修改日志

D.系統(tǒng)崩潰日志

24.醫(yī)療機構與第三方系統(tǒng)對接時，以下哪些安全措施需要重點關注？（）

A.數(shù)據(jù)傳輸加密

B.訪問權限控制

C.接口安全認證

D.數(shù)據(jù)存儲備份

25.醫(yī)療信息系統(tǒng)物理安全中，以下哪些措施屬于“訪問控制”范疇？（）

A.門禁系統(tǒng)

B.視頻監(jiān)控

C.指紋識別

D.UPS電源

三、判斷題（共10分，每題0.5分）

26.醫(yī)療機構對患者電子病歷進行匿名化處理后，仍需遵守患者信息保密規(guī)定。（）

27.醫(yī)療信息系統(tǒng)用戶賬號密碼泄露后，應立即通知所有用戶修改密碼。（）

28.醫(yī)療機構內部信息安全事件調查時，應重點關注事件造成的經濟損失。（）

29.醫(yī)療信息系統(tǒng)安全等級保護測評結果直接影響醫(yī)療機構等級評審。（）

30.醫(yī)療機構員工離職時，無需對其訪問過的患者信息進行審計。（）

31.醫(yī)療信息系統(tǒng)數(shù)據(jù)加密過程中，對稱加密算法比非對稱加密算法更安全。（）

32.醫(yī)療機構對患者信息進行去標識化處理后，仍需記錄處理過程和責任人。（）

33.醫(yī)療信息系統(tǒng)發(fā)生勒索病毒攻擊時，應立即斷開網(wǎng)絡進行隔離。（）

34.醫(yī)療機構與第三方軟件供應商簽訂保密協(xié)議時，無需明確違約責任。（）

35.醫(yī)療信息系統(tǒng)物理環(huán)境安全中，機房溫度控制在10-30℃范圍內即可。（）

四、填空題（共10空，每空1分，共10分）

36.醫(yī)療機構對患者信息進行分類分級管理時，通常將信息分為______、______、______三級。

37.醫(yī)療信息系統(tǒng)發(fā)生數(shù)據(jù)泄露事件后，醫(yī)療機構應在______小時內啟動應急預案。

38.醫(yī)療機構內部員工信息安全培訓應至少______次/年，新員工上崗前必須參加培訓。

39.醫(yī)療信息系統(tǒng)用戶權限管理中，“職責分離”原則要求______和______的操作不能由同一人完成。

40.醫(yī)療機構對患者信息進行去標識化處理后，仍需確保信息可用于______或______。

五、簡答題（共30分）

41.簡述醫(yī)療機構信息系統(tǒng)安全等級保護測評的主要流程。（10分）

42.結合實際案例，分析醫(yī)療機構在患者信息安全管理中常見的風險點及應對措施。（10分）

43.醫(yī)療機構信息系統(tǒng)發(fā)生勒索病毒攻擊后，應采取哪些應急響應措施？（10分）

六、案例分析題（共25分）

案例背景：某三甲醫(yī)院信息系統(tǒng)發(fā)生數(shù)據(jù)泄露事件，約5000名患者的電子病歷被非法獲取。經調查，泄露原因是系統(tǒng)管理員在配置遠程訪問權限時操作失誤，導致患者信息存儲路徑被公開。事件發(fā)生后，醫(yī)院立即啟動應急預案，聯(lián)系公安機關立案調查，并通知患者修改相關賬戶密碼。

問題：

（1）分析該事件中醫(yī)療機構可能存在的管理漏洞。（10分）

（2）提出防范類似事件的措施建議。（10分）

（3）說明該事件對患者和醫(yī)療機構可能造成的影響及法律責任。（5分）

參考答案及解析

一、單選題（共20分）

1.B

2.D

3.C

4.A

5.B

6.B

7.C

8.B

9.B

10.A

11.B

12.C

13.C

14.B

15.B

16.D

17.C

18.B

19.D

20.B

解析：

1.B（身份證號屬于生物識別信息，敏感度最高）

2.D（根據(jù)《醫(yī)療健康信息安全管理辦法》第15條，患者去世后50年內需保密）

3.C（評估風險屬于風險評估范疇，不屬于日常巡檢）

4.A（ISO27001是信息安全管理體系標準，符合醫(yī)療行業(yè)要求）

5.B（需書面授權，明確子女權限）

6.B（先評估影響，再采取針對性措施）

7.C（等保三級是醫(yī)療信息系統(tǒng)常見安全等級要求）

8.B（需刪除賬號并修改相關系統(tǒng)密碼）

9.B（加密主要防止非法訪問）

10.A（刪除字段可能影響后續(xù)關聯(lián)分析）

11.B（最小權限原則要求限制權限范圍）

12.C（身份證號唯一標識個人，敏感度最高）

13.C（系統(tǒng)自動備份狀態(tài)不屬于審計追蹤內容）

14.B（保密協(xié)議核心是明確責任）

15.B（門禁和監(jiān)控主要防止物理入侵）

16.D（隨機編號可保留部分關聯(lián)性）

17.C（優(yōu)先隔離攻擊源，防止持續(xù)損害）

18.B（密碼規(guī)范屬于意識培訓內容）

19.D（混合備份非標準類型）

20.B（敏感度是核心評估因素）

二、多選題（共15分）

21.ABCD

22.AB

23.ABCD

24.ABC

25.ABC

解析：

21.ABCD（定級、建設整改、測評、運維監(jiān)督均屬于等級保護流程）

22.AB（生日密碼和截屏發(fā)送均違規(guī)）

23.ABCD（所有日志均需保存）

24.ABC（接口安全認證、數(shù)據(jù)傳輸加密、訪問控制是重點）

25.ABC（門禁、監(jiān)控、指紋屬于訪問控制）

三、判斷題（共10分）

26.√

27.√

28.×（應關注患者隱私泄露和合規(guī)風險）

29.√

30.×（離職員工需進行權限審計）

31.×（對稱加密速度快，但非對稱更安全）

32.√

33.√

34.×（需明確違約責任）

35.×（標準為10-25℃）

解析：

26.√（去標識化仍需遵守保密規(guī)定）

27.√（及時通知可減少損失）

28.×（應重點關注合規(guī)和隱私影響）

29.√（等級保護直接影響評審）

30.×（離職員工權限需審計）

31.×（非對稱加密用于密鑰交換）

32.√（需記錄處理過程）

33.√（立即隔離可阻止擴散）

34.×（違約責任是核心條款）

35.×（標準溫度范圍更廣）

四、填空題（共10分）

36.核心、重要、一般

37.24

38.2

39.系統(tǒng)管理、業(yè)務操作

40.統(tǒng)計分析、科研

解析：

36.醫(yī)療信息安全標準中通常分為三級

37.根據(jù)《網(wǎng)絡安全法》第41條，突發(fā)安全事件需24小時內報告

38.根據(jù)《信息安全培訓指南》建議每年至少2次

39.職責分離要求系統(tǒng)管理和業(yè)務操作分離

40.去標識化數(shù)據(jù)仍可用于統(tǒng)計分析或科研

五、簡答題（共30分）

41.答：

①系統(tǒng)定級；

②安全方案設計；

③安全建設整改；

④等級測評；

⑤運維監(jiān)督。（每點2分，共10分）

42.答：

風險點：

①權限管理混亂（如管理員賬號濫用）；

②安全意識薄弱（如隨意連接WiFi）；

③日志管理缺失（如異常操作未記錄）；

④第三方風險（如供應商數(shù)據(jù)泄露）。

應對措施：

①加強權限管理，實施最小權限原則；

②定期開展安全意識培訓；

③完善日志管理，實施審計追蹤；

④對第三方系統(tǒng)進行安全評估。（每點2分，共10分）

43.答：

①立即隔離受感染主機，阻止病毒擴散；

②停止非必要服務，減少損失；

③聯(lián)系專業(yè)機構進行病毒清除；

④恢復備份數(shù)據(jù)；

⑤評估系統(tǒng)安全性，修復漏洞；

⑥啟動應急預案，通知相關部門。（每點2分，共10分）

六、案例分析題（共25分）

（1）答：

①權限管理混亂（管理員遠程訪問權限配置不當）；

②安全意識薄弱（未嚴格執(zhí)行操作規(guī)范）；

③日志審計缺失（未及時發(fā)現(xiàn)異常操作）；

④應急預案不完善（事件發(fā)生后響應不及時）。

（每點3.3分，共1