第第PAGE\MERGEFORMAT1頁共NUMPAGES\MERGEFORMAT1頁醫(yī)療信息安全試題題庫及答案解析（含答案及解析）姓名：科室/部門/班級(jí)：得分：題型單選題多選題判斷題填空題簡答題案例分析題總分得分

一、單選題（共20分）

1.醫(yī)療信息系統(tǒng)中，以下哪項(xiàng)屬于敏感個(gè)人信息？（）

A.患者姓名

B.患者身份證號(hào)

C.患者性別

D.患者所在科室

2.根據(jù)國家衛(wèi)生健康委《醫(yī)療健康信息安全管理辦法》，醫(yī)療機(jī)構(gòu)對(duì)患者電子病歷的保密期限至少為多少年？（）

A.5年

B.10年

C.15年

D.患者去世后50年

3.在醫(yī)療信息系統(tǒng)運(yùn)維過程中，以下哪項(xiàng)操作不屬于日常安全巡檢的范疇？（）

A.檢查系統(tǒng)日志中的異常登錄記錄

B.定期更新系統(tǒng)補(bǔ)丁

C.評(píng)估患者隱私泄露風(fēng)險(xiǎn)

D.測(cè)試系統(tǒng)應(yīng)急響應(yīng)流程

4.醫(yī)療機(jī)構(gòu)使用第三方云服務(wù)存儲(chǔ)患者電子病歷時(shí)，應(yīng)優(yōu)先選擇符合以下哪個(gè)等級(jí)的安全認(rèn)證？（）

A.ISO27001

B.HIPAA

C.ISO27017

D.PCIDSS

5.患者授權(quán)其子女查詢電子病歷，醫(yī)療機(jī)構(gòu)在執(zhí)行該操作前需要履行的程序是？（）

A.直接執(zhí)行查詢并記錄操作

B.確認(rèn)患者已簽署《授權(quán)同意書》并注明子女姓名和權(quán)限

C.僅需子女提供身份證明即可

D.通過電話確認(rèn)患者意愿

6.醫(yī)療信息系統(tǒng)發(fā)生數(shù)據(jù)泄露事件后，醫(yī)療機(jī)構(gòu)應(yīng)優(yōu)先采取的措施是？（）

A.立即公開泄露事件

B.評(píng)估泄露范圍和影響

C.查找泄露原因并修復(fù)漏洞

D.聯(lián)系媒體發(fā)布聲明

7.根據(jù)中國《網(wǎng)絡(luò)安全法》，醫(yī)療機(jī)構(gòu)采購醫(yī)療信息系統(tǒng)時(shí)應(yīng)重點(diǎn)核查供應(yīng)商的？（）

A.市場(chǎng)份額

B.軟件開發(fā)能力

C.信息安全資質(zhì)（如等保三級(jí)）

D.服務(wù)價(jià)格

8.醫(yī)療機(jī)構(gòu)內(nèi)部員工離職時(shí)，以下哪項(xiàng)操作符合患者信息安全管理要求？（）

A.僅刪除該員工賬號(hào)

B.刪除該員工賬號(hào)并強(qiáng)制修改所有相關(guān)系統(tǒng)的密碼

C.僅注銷該員工賬號(hào)

D.僅限制該員工訪問權(quán)限

9.醫(yī)療信息系統(tǒng)中的數(shù)據(jù)加密技術(shù)主要解決以下哪個(gè)問題？（）

A.防止數(shù)據(jù)丟失

B.防止數(shù)據(jù)被非法訪問

C.提高系統(tǒng)運(yùn)行速度

D.簡化用戶登錄流程

10.醫(yī)療機(jī)構(gòu)對(duì)患者信息進(jìn)行匿名化處理時(shí)，以下哪項(xiàng)操作可能影響后續(xù)數(shù)據(jù)使用？（）

A.刪除所有可識(shí)別個(gè)人身份的字段

B.使用哈希算法對(duì)身份證號(hào)加密

C.替換真實(shí)姓名為隨機(jī)編號(hào)

D.僅保留患者就診日期等非身份信息

11.醫(yī)療信息系統(tǒng)用戶權(quán)限管理中，“最小權(quán)限原則”的核心要求是？（）

A.賦予用戶所有必要權(quán)限

B.限制用戶僅能訪問其工作所需的數(shù)據(jù)和功能

C.允許用戶自行調(diào)整權(quán)限

D.只設(shè)置管理員權(quán)限

12.醫(yī)療機(jī)構(gòu)對(duì)患者信息進(jìn)行分類分級(jí)管理時(shí)，以下哪類信息敏感度最高？（）

A.患者既往病史

B.患者過敏藥物記錄

C.患者身份證號(hào)

D.患者醫(yī)?？ㄌ?hào)

13.醫(yī)療信息系統(tǒng)日志記錄中，以下哪項(xiàng)信息不屬于關(guān)鍵審計(jì)追蹤內(nèi)容？（）

A.系統(tǒng)管理員登錄時(shí)間

B.患者電子病歷修改記錄

C.系統(tǒng)自動(dòng)備份狀態(tài)

D.用戶密碼修改操作

14.醫(yī)療機(jī)構(gòu)與第三方軟件供應(yīng)商簽訂保密協(xié)議時(shí)，應(yīng)重點(diǎn)明確的內(nèi)容是？（）

A.供應(yīng)商的收費(fèi)標(biāo)準(zhǔn)

B.患者信息的保密責(zé)任和義務(wù)

C.供應(yīng)商的市場(chǎng)推廣計(jì)劃

D.供應(yīng)商的員工薪酬制度

15.醫(yī)療信息系統(tǒng)物理環(huán)境安全中，以下哪項(xiàng)措施主要防止數(shù)據(jù)被竊??？（）

A.安裝UPS電源

B.設(shè)置門禁系統(tǒng)和視頻監(jiān)控

C.配置防火墻

D.定期進(jìn)行數(shù)據(jù)備份

16.醫(yī)療機(jī)構(gòu)對(duì)患者信息進(jìn)行去標(biāo)識(shí)化處理時(shí)，以下哪項(xiàng)操作符合要求？（）

A.刪除所有患者姓名

B.使用加密算法對(duì)身份證號(hào)處理

C.將患者信息與統(tǒng)計(jì)數(shù)據(jù)庫關(guān)聯(lián)

D.替換患者姓名為隨機(jī)編號(hào)

17.醫(yī)療信息系統(tǒng)發(fā)生拒絕服務(wù)攻擊時(shí)，以下哪項(xiàng)措施優(yōu)先考慮？（）

A.立即發(fā)布公告說明情況

B.暫停系統(tǒng)服務(wù)進(jìn)行修復(fù)

C.啟動(dòng)應(yīng)急預(yù)案并隔離攻擊源

D.聯(lián)系黑客進(jìn)行談判

18.醫(yī)療機(jī)構(gòu)內(nèi)部信息安全培訓(xùn)中，以下哪項(xiàng)內(nèi)容屬于“意識(shí)培訓(xùn)”范疇？（）

A.漏洞掃描技術(shù)操作

B.密碼設(shè)置規(guī)范

C.數(shù)據(jù)加密原理

D.等級(jí)保護(hù)測(cè)評(píng)流程

19.醫(yī)療信息系統(tǒng)數(shù)據(jù)備份策略中，以下哪項(xiàng)不屬于常見備份類型？（）

A.全量備份

B.增量備份

C.災(zāi)難備份

D.混合備份

20.醫(yī)療機(jī)構(gòu)對(duì)患者信息進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，以下哪項(xiàng)因素權(quán)重最高？（）

A.數(shù)據(jù)存儲(chǔ)量

B.數(shù)據(jù)敏感度

C.系統(tǒng)使用人數(shù)

D.系統(tǒng)開發(fā)成本

二、多選題（共15分，多選、錯(cuò)選不得分）

21.醫(yī)療機(jī)構(gòu)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)中，以下哪些環(huán)節(jié)屬于測(cè)評(píng)范圍？（）

A.系統(tǒng)定級(jí)

B.安全建設(shè)整改

C.等級(jí)測(cè)評(píng)

D.安全運(yùn)維監(jiān)督

22.醫(yī)療機(jī)構(gòu)員工信息安全意識(shí)培訓(xùn)中，以下哪些行為屬于違規(guī)操作？（）

A.使用生日作為系統(tǒng)登錄密碼

B.將患者信息截圖發(fā)送至個(gè)人郵箱

C.定期修改系統(tǒng)密碼

D.不隨意連接公共WiFi處理患者信息

23.醫(yī)療信息系統(tǒng)日志管理中，以下哪些日志需要長期保存？（）

A.系統(tǒng)操作日志

B.用戶登錄日志

C.數(shù)據(jù)修改日志

D.系統(tǒng)崩潰日志

24.醫(yī)療機(jī)構(gòu)與第三方系統(tǒng)對(duì)接時(shí)，以下哪些安全措施需要重點(diǎn)關(guān)注？（）

A.數(shù)據(jù)傳輸加密

B.訪問權(quán)限控制

C.接口安全認(rèn)證

D.數(shù)據(jù)存儲(chǔ)備份

25.醫(yī)療信息系統(tǒng)物理安全中，以下哪些措施屬于“訪問控制”范疇？（）

A.門禁系統(tǒng)

B.視頻監(jiān)控

C.指紋識(shí)別

D.UPS電源

三、判斷題（共10分，每題0.5分）

26.醫(yī)療機(jī)構(gòu)對(duì)患者電子病歷進(jìn)行匿名化處理后，仍需遵守患者信息保密規(guī)定。（）

27.醫(yī)療信息系統(tǒng)用戶賬號(hào)密碼泄露后，應(yīng)立即通知所有用戶修改密碼。（）

28.醫(yī)療機(jī)構(gòu)內(nèi)部信息安全事件調(diào)查時(shí)，應(yīng)重點(diǎn)關(guān)注事件造成的經(jīng)濟(jì)損失。（）

29.醫(yī)療信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)結(jié)果直接影響醫(yī)療機(jī)構(gòu)等級(jí)評(píng)審。（）

30.醫(yī)療機(jī)構(gòu)員工離職時(shí)，無需對(duì)其訪問過的患者信息進(jìn)行審計(jì)。（）

31.醫(yī)療信息系統(tǒng)數(shù)據(jù)加密過程中，對(duì)稱加密算法比非對(duì)稱加密算法更安全。（）

32.醫(yī)療機(jī)構(gòu)對(duì)患者信息進(jìn)行去標(biāo)識(shí)化處理后，仍需記錄處理過程和責(zé)任人。（）

33.醫(yī)療信息系統(tǒng)發(fā)生勒索病毒攻擊時(shí)，應(yīng)立即斷開網(wǎng)絡(luò)進(jìn)行隔離。（）

34.醫(yī)療機(jī)構(gòu)與第三方軟件供應(yīng)商簽訂保密協(xié)議時(shí)，無需明確違約責(zé)任。（）

35.醫(yī)療信息系統(tǒng)物理環(huán)境安全中，機(jī)房溫度控制在10-30℃范圍內(nèi)即可。（）

四、填空題（共10空，每空1分，共10分）

36.醫(yī)療機(jī)構(gòu)對(duì)患者信息進(jìn)行分類分級(jí)管理時(shí)，通常將信息分為______、______、______三級(jí)。

37.醫(yī)療信息系統(tǒng)發(fā)生數(shù)據(jù)泄露事件后，醫(yī)療機(jī)構(gòu)應(yīng)在______小時(shí)內(nèi)啟動(dòng)應(yīng)急預(yù)案。

38.醫(yī)療機(jī)構(gòu)內(nèi)部員工信息安全培訓(xùn)應(yīng)至少______次/年，新員工上崗前必須參加培訓(xùn)。

39.醫(yī)療信息系統(tǒng)用戶權(quán)限管理中，“職責(zé)分離”原則要求______和______的操作不能由同一人完成。

40.醫(yī)療機(jī)構(gòu)對(duì)患者信息進(jìn)行去標(biāo)識(shí)化處理后，仍需確保信息可用于______或______。

五、簡答題（共30分）

41.簡述醫(yī)療機(jī)構(gòu)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的主要流程。（10分）

42.結(jié)合實(shí)際案例，分析醫(yī)療機(jī)構(gòu)在患者信息安全管理中常見的風(fēng)險(xiǎn)點(diǎn)及應(yīng)對(duì)措施。（10分）

43.醫(yī)療機(jī)構(gòu)信息系統(tǒng)發(fā)生勒索病毒攻擊后，應(yīng)采取哪些應(yīng)急響應(yīng)措施？（10分）

六、案例分析題（共25分）

案例背景：某三甲醫(yī)院信息系統(tǒng)發(fā)生數(shù)據(jù)泄露事件，約5000名患者的電子病歷被非法獲取。經(jīng)調(diào)查，泄露原因是系統(tǒng)管理員在配置遠(yuǎn)程訪問權(quán)限時(shí)操作失誤，導(dǎo)致患者信息存儲(chǔ)路徑被公開。事件發(fā)生后，醫(yī)院立即啟動(dòng)應(yīng)急預(yù)案，聯(lián)系公安機(jī)關(guān)立案調(diào)查，并通知患者修改相關(guān)賬戶密碼。

問題：

（1）分析該事件中醫(yī)療機(jī)構(gòu)可能存在的管理漏洞。（10分）

（2）提出防范類似事件的措施建議。（10分）

（3）說明該事件對(duì)患者和醫(yī)療機(jī)構(gòu)可能造成的影響及法律責(zé)任。（5分）

參考答案及解析

一、單選題（共20分）

1.B

2.D

3.C

4.A

5.B

6.B

7.C

8.B

9.B

10.A

11.B

12.C

13.C

14.B

15.B

16.D

17.C

18.B

19.D

20.B

解析：

1.B（身份證號(hào)屬于生物識(shí)別信息，敏感度最高）

2.D（根據(jù)《醫(yī)療健康信息安全管理辦法》第15條，患者去世后50年內(nèi)需保密）

3.C（評(píng)估風(fēng)險(xiǎn)屬于風(fēng)險(xiǎn)評(píng)估范疇，不屬于日常巡檢）

4.A（ISO27001是信息安全管理體系標(biāo)準(zhǔn)，符合醫(yī)療行業(yè)要求）

5.B（需書面授權(quán)，明確子女權(quán)限）

6.B（先評(píng)估影響，再采取針對(duì)性措施）

7.C（等保三級(jí)是醫(yī)療信息系統(tǒng)常見安全等級(jí)要求）

8.B（需刪除賬號(hào)并修改相關(guān)系統(tǒng)密碼）

9.B（加密主要防止非法訪問）

10.A（刪除字段可能影響后續(xù)關(guān)聯(lián)分析）

11.B（最小權(quán)限原則要求限制權(quán)限范圍）

12.C（身份證號(hào)唯一標(biāo)識(shí)個(gè)人，敏感度最高）

13.C（系統(tǒng)自動(dòng)備份狀態(tài)不屬于審計(jì)追蹤內(nèi)容）

14.B（保密協(xié)議核心是明確責(zé)任）

15.B（門禁和監(jiān)控主要防止物理入侵）

16.D（隨機(jī)編號(hào)可保留部分關(guān)聯(lián)性）

17.C（優(yōu)先隔離攻擊源，防止持續(xù)損害）

18.B（密碼規(guī)范屬于意識(shí)培訓(xùn)內(nèi)容）

19.D（混合備份非標(biāo)準(zhǔn)類型）

20.B（敏感度是核心評(píng)估因素）

二、多選題（共15分）

21.ABCD

22.AB

23.ABCD

24.ABC

25.ABC

解析：

21.ABCD（定級(jí)、建設(shè)整改、測(cè)評(píng)、運(yùn)維監(jiān)督均屬于等級(jí)保護(hù)流程）

22.AB（生日密碼和截屏發(fā)送均違規(guī)）

23.ABCD（所有日志均需保存）

24.ABC（接口安全認(rèn)證、數(shù)據(jù)傳輸加密、訪問控制是重點(diǎn)）

25.ABC（門禁、監(jiān)控、指紋屬于訪問控制）

三、判斷題（共10分）

26.√

27.√

28.×（應(yīng)關(guān)注患者隱私泄露和合規(guī)風(fēng)險(xiǎn)）

29.√

30.×（離職員工需進(jìn)行權(quán)限審計(jì)）

31.×（對(duì)稱加密速度快，但非對(duì)稱更安全）

32.√

33.√

34.×（需明確違約責(zé)任）

35.×（標(biāo)準(zhǔn)為10-25℃）

解析：

26.√（去標(biāo)識(shí)化仍需遵守保密規(guī)定）

27.√（及時(shí)通知可減少損失）

28.×（應(yīng)重點(diǎn)關(guān)注合規(guī)和隱私影響）

29.√（等級(jí)保護(hù)直接影響評(píng)審）

30.×（離職員工權(quán)限需審計(jì)）

31.×（非對(duì)稱加密用于密鑰交換）

32.√（需記錄處理過程）

33.√（立即隔離可阻止擴(kuò)散）

34.×（違約責(zé)任是核心條款）

35.×（標(biāo)準(zhǔn)溫度范圍更廣）

四、填空題（共10分）

36.核心、重要、一般

37.24

38.2

39.系統(tǒng)管理、業(yè)務(wù)操作

40.統(tǒng)計(jì)分析、科研

解析：

36.醫(yī)療信息安全標(biāo)準(zhǔn)中通常分為三級(jí)

37.根據(jù)《網(wǎng)絡(luò)安全法》第41條，突發(fā)安全事件需24小時(shí)內(nèi)報(bào)告

38.根據(jù)《信息安全培訓(xùn)指南》建議每年至少2次

39.職責(zé)分離要求系統(tǒng)管理和業(yè)務(wù)操作分離

40.去標(biāo)識(shí)化數(shù)據(jù)仍可用于統(tǒng)計(jì)分析或科研

五、簡答題（共30分）

41.答：

①系統(tǒng)定級(jí)；

②安全方案設(shè)計(jì)；

③安全建設(shè)整改；

④等級(jí)測(cè)評(píng)；

⑤運(yùn)維監(jiān)督。（每點(diǎn)2分，共10分）

42.答：

風(fēng)險(xiǎn)點(diǎn)：

①權(quán)限管理混亂（如管理員賬號(hào)濫用）；

②安全意識(shí)薄弱（如隨意連接WiFi）；

③日志管理缺失（如異常操作未記錄）；

④第三方風(fēng)險(xiǎn)（如供應(yīng)商數(shù)據(jù)泄露）。

應(yīng)對(duì)措施：

①加強(qiáng)權(quán)限管理，實(shí)施最小權(quán)限原則；

②定期開展安全意識(shí)培訓(xùn)；

③完善日志管理，實(shí)施審計(jì)追蹤；

④對(duì)第三方系統(tǒng)進(jìn)行安全評(píng)估。（每點(diǎn)2分，共10分）

43.答：

①立即隔離受感染主機(jī)，阻止病毒擴(kuò)散；

②停止非必要服務(wù)，減少損失；

③聯(lián)系專業(yè)機(jī)構(gòu)進(jìn)行病毒清除；

④恢復(fù)備份數(shù)據(jù)；

⑤評(píng)估系統(tǒng)安全性，修復(fù)漏洞；

⑥啟動(dòng)應(yīng)急預(yù)案，通知相關(guān)部門。（每點(diǎn)2分，共10分）

六、案例分析題（共25分）

（1）答：

①權(quán)限管理混亂（管理員遠(yuǎn)程訪問權(quán)限配置不當(dāng)）；

②安全意識(shí)薄弱（未嚴(yán)格執(zhí)行操作規(guī)范）；

③日志審計(jì)缺失（未及時(shí)發(fā)現(xiàn)異常操作）；

④應(yīng)急預(yù)案不完善（事件發(fā)生后響應(yīng)不及時(shí)）。

（每點(diǎn)3.3分，共1