2025年醫(yī)院處方記錄安全試題庫及答案一、單項選擇題（每題2分，共40分）1.根據(jù)2024年修訂的《處方管理辦法》，門診電子處方記錄的最低存儲期限為（）A.3年B.5年C.10年D.永久保存答案：B2.以下哪項不屬于處方記錄中的“必要信息”？（）A.患者身份證號B.醫(yī)師電子簽名C.藥品通用名稱D.收費金額答案：D3.醫(yī)院信息系統(tǒng)中，處方記錄訪問日志應至少保存（）A.1年B.3年C.5年D.10年答案：C4.處方記錄數(shù)據(jù)脫敏處理時，“患者姓名”的合規(guī)脫敏方式是（）A.完全刪除B.保留姓氏+“”（如張）C.替換為隨機字符D.僅保留首字母答案：B5.某醫(yī)師因診療需要調(diào)取患者3年前的處方記錄，系統(tǒng)提示“無權限訪問”，最可能的原因是（）A.系統(tǒng)故障B.該醫(yī)師未完成年度安全培訓C.處方記錄已歸檔至離線存儲D.權限設置未覆蓋歷史數(shù)據(jù)查詢答案：D6.依據(jù)《個人信息保護法》，醫(yī)院向第三方機構(gòu)提供處方記錄用于科研時，必須取得（）A.醫(yī)院倫理委員會批準B.患者書面同意（明確用途、范圍）C.衛(wèi)生健康主管部門備案D.數(shù)據(jù)脫敏處理即可答案：B7.電子處方簽名的有效性需滿足的核心條件是（）A.醫(yī)師手寫簽名掃描件B.經(jīng)CA認證的數(shù)字簽名C.科室負責人復核確認D.信息系統(tǒng)自動生成時間戳答案：B8.處方記錄存儲介質(zhì)發(fā)生物理損壞時，優(yōu)先啟動的應急措施是（）A.向公安機關報案B.使用備份數(shù)據(jù)恢復C.暫停處方開具業(yè)務D.通知患者補打處方答案：B9.以下哪類人員無需納入處方記錄安全培訓范圍？（）A.實習藥師B.后勤維修人員C.信息系統(tǒng)運維工程師D.醫(yī)務科管理人員答案：B10.處方記錄加密傳輸應采用的最低安全等級是（）A.SHA-1哈希B.AES-128C.RSA-1024D.SM4國密算法答案：D（注：2025年起醫(yī)療機構(gòu)強制使用國產(chǎn)密碼算法）11.某醫(yī)院發(fā)現(xiàn)處方系統(tǒng)存在SQL注入漏洞，正確的處置流程是（）A.立即關閉系統(tǒng)→修復漏洞→驗證安全→恢復使用B.記錄漏洞→上報信息科→等待廠商修復C.繼續(xù)使用→定期備份數(shù)據(jù)→月底統(tǒng)一修復D.限制訪問權限→同步修復→通知相關人員答案：A12.處方記錄中的“診斷信息”屬于（）A.一般信息B.敏感個人信息C.公共衛(wèi)生信息D.可匿名化信息答案：B13.醫(yī)院與互聯(lián)網(wǎng)醫(yī)院平臺對接時，處方記錄傳輸?shù)淖钚”匾獢?shù)據(jù)不包括（）A.患者姓名B.藥品用法用量C.醫(yī)師執(zhí)業(yè)證書編號D.患者聯(lián)系方式答案：D14.處方調(diào)劑環(huán)節(jié)中，藥師對電子處方的核對應重點關注（）A.患者年齡與藥品禁忌的匹配性B.醫(yī)師手寫簽名的清晰度C.處方打印紙張的規(guī)格D.系統(tǒng)時間與處方時間的一致性答案：A15.依據(jù)《數(shù)據(jù)安全法》，醫(yī)院未履行處方記錄安全保護義務導致數(shù)據(jù)泄露，最輕的行政處罰是（）A.警告并限期整改B.處50萬元以下罰款C.暫停業(yè)務1個月D.吊銷《醫(yī)療機構(gòu)執(zhí)業(yè)許可證》答案：A16.處方記錄歸檔時，紙質(zhì)處方與電子處方的關聯(lián)標識應為（）A.患者姓名+就診日期B.唯一就診號（如門診號、住院號）C.醫(yī)師工號+處方編號D.藥品通用名首字母縮寫答案：B17.處方記錄安全審計的核心內(nèi)容是（）A.統(tǒng)計處方數(shù)量B.追蹤訪問行為（誰、何時、訪問了什么）C.檢查打印機耗材使用情況D.評估醫(yī)師處方合理性答案：B18.患者申請復制本人處方記錄時，醫(yī)院應在（）個工作日內(nèi)提供A.1B.3C.5D.7答案：C19.處方記錄存儲環(huán)境的溫濕度要求是（）A.溫度18-22℃，濕度35-45%B.溫度20-25℃，濕度40-60%C.溫度15-18℃，濕度20-30%D.無特殊要求，常溫即可答案：A（依據(jù)《信息系統(tǒng)物理環(huán)境安全規(guī)范》GB/T21028-2023）20.以下哪項不屬于處方記錄安全事件？（）A.藥師誤將處方打印給無關患者B.系統(tǒng)自動備份時覆蓋舊數(shù)據(jù)C.黑客攻擊導致處方數(shù)據(jù)庫癱瘓D.實習醫(yī)師通過他人賬號查詢處方答案：B二、多項選擇題（每題3分，共45分）1.處方記錄安全管理的責任主體包括（）A.醫(yī)務科（負責處方質(zhì)量與權限管理）B.信息科（負責系統(tǒng)安全與數(shù)據(jù)保護）C.藥學部（負責調(diào)劑環(huán)節(jié)記錄完整性）D.質(zhì)控辦（負責安全制度落實監(jiān)督）答案：ABCD2.處方記錄數(shù)據(jù)泄露的常見途徑有（）A.內(nèi)部人員違規(guī)訪問B.系統(tǒng)漏洞被攻擊C.存儲介質(zhì)丟失（如移動硬盤）D.患者自行拍照傳播答案：ABC3.電子處方的合法性要件包括（）A.符合《電子簽名法》的可靠電子簽名B.與紙質(zhì)處方具有同等法律效力C.包含完整的診療信息（診斷、用藥）D.經(jīng)藥師審核并確認答案：ABCD4.處方記錄安全培訓的內(nèi)容應包括（）A.相關法律法規(guī)（如《個人信息保護法》）B.系統(tǒng)操作規(guī)范（如權限使用、日志查看）C.安全事件應急處置流程D.患者隱私保護的倫理要求答案：ABCD5.處方記錄存儲應遵循的原則有（）A.本地存儲與異地備份結(jié)合B.嚴格區(qū)分在線存儲（常用）與離線存儲（歸檔）C.加密存儲（包括元數(shù)據(jù)）D.定期檢測存儲介質(zhì)的完整性答案：ABCD6.以下哪些行為違反處方記錄安全規(guī)定？（）A.醫(yī)師使用自己賬號為實習醫(yī)生查詢處方B.信息科工程師調(diào)試系統(tǒng)時導出全部處方數(shù)據(jù)C.藥學部將1年內(nèi)的處方記錄轉(zhuǎn)移至云存儲D.患者憑身份證復印件申請復制處方答案：AB7.處方記錄安全審計的關鍵指標包括（）A.異常訪問次數(shù)（如非工作時間訪問）B.未授權訪問嘗試次數(shù)C.數(shù)據(jù)修改操作記錄（修改人、時間、內(nèi)容）D.存儲介質(zhì)故障率答案：ABC8.處方記錄脫敏的技術方法包括（）A.匿名化（去除可識別信息）B.去標識化（保留部分信息但無法關聯(lián)到個人）C.加密（對稱/非對稱加密）D.泛化（如將具體年齡改為年齡段）答案：ABD（注：加密屬于保護手段，非脫敏）9.醫(yī)院與外部機構(gòu)共享處方記錄時，需簽訂的協(xié)議應包含（）A.數(shù)據(jù)使用范圍與期限B.安全保護責任劃分C.數(shù)據(jù)泄露的賠償條款D.數(shù)據(jù)返還或銷毀方式答案：ABCD10.處方記錄應急響應預案應包括（）A.事件分級標準（如一般、較大、重大）B.響應流程（報告、阻斷、評估、處置）C.應急聯(lián)絡人名單（信息科、法務、公關）D.事后整改措施（如漏洞修復、培訓加強）答案：ABCD11.紙質(zhì)處方的安全管理要求有（）A.專柜上鎖保存（鑰匙由專人管理）B.借閱需登記（借閱人、時間、用途）C.過期銷毀需雙人監(jiān)銷并記錄D.掃描為電子件后可立即銷毀原紙質(zhì)件答案：ABC12.處方記錄中的“患者個人信息”包括（）A.姓名、性別、年齡B.聯(lián)系方式（電話、地址）C.身份證號、醫(yī)?？ㄌ朌.既往病史、過敏史答案：ABC（注：D屬于診療信息，非個人信息但屬敏感數(shù)據(jù)）13.以下哪些情況可豁免患者同意直接使用處方記錄？（）A.突發(fā)公共衛(wèi)生事件（如傳染病疫情）B.藥品不良反應監(jiān)測C.醫(yī)療質(zhì)量安全事件調(diào)查D.商業(yè)保險理賠（患者已授權保險機構(gòu)）答案：ABC14.處方記錄系統(tǒng)的訪問控制應實現(xiàn)（）A.角色分離（如醫(yī)師、藥師、管理員權限不同）B.動態(tài)權限調(diào)整（如崗位變動時及時收回權限）C.登錄認證（雙因素認證：賬號+驗證碼/指紋）D.會話超時自動退出（如30分鐘無操作）答案：ABCD15.處方記錄安全風險評估的內(nèi)容包括（）A.系統(tǒng)漏洞風險（如未修復的補?。〣.人員操作風險（如違規(guī)共享賬號）C.外部攻擊風險（如勒索軟件威脅）D.存儲介質(zhì)風險（如硬盤老化）答案：ABCD三、判斷題（每題2分，共30分）1.電子處方與紙質(zhì)處方具有同等法律效力，因此無需保存紙質(zhì)處方。（）答案：×（注：需根據(jù)醫(yī)院規(guī)定或患者要求保存紙質(zhì)件，部分情形仍需紙質(zhì)存檔）2.實習醫(yī)師經(jīng)帶教老師授權后，可使用帶教老師賬號查詢處方記錄。（）答案：×（注：禁止賬號共享，需為實習醫(yī)師單獨分配有限權限賬號）3.處方記錄中的患者聯(lián)系方式可用于醫(yī)院營銷活動（如藥品推廣），無需額外授權。（）答案：×（注：超出診療必要范圍，需單獨取得患者同意）4.信息科工程師因系統(tǒng)維護需要，可臨時訪問任意患者的處方記錄。（）答案：×（注：需遵循“最小權限原則”，僅訪問必要數(shù)據(jù)并記錄）5.處方記錄泄露后，醫(yī)院只需向衛(wèi)生健康主管部門報告，無需通知患者。（）答案：×（注：需及時通知受影響患者，并告知補救措施）6.處方記錄加密存儲時，只需加密正文內(nèi)容，元數(shù)據(jù)（如患者姓名、時間）可明文存儲。（）答案：×（注：元數(shù)據(jù)也可能泄露隱私，需同步加密）7.醫(yī)院將處方記錄備份至第三方云服務商時，需確保云服務商通過《個人信息保護認證》。（）答案：√8.患者死亡后，其處方記錄可立即銷毀。（）答案：×（注：需按存儲期限要求保存，一般至少5年）9.處方記錄安全培訓只需針對新入職人員，在職人員無需重復培訓。（）答案：×（注：需定期培訓，每年至少1次）10.處方系統(tǒng)日志中僅需記錄成功訪問行為，失敗嘗試無需記錄。（）答案：×（注：失敗訪問（如密碼錯誤）是重要安全事件線索，需記錄）11.紙質(zhì)處方銷毀時，可采用碎紙機粉碎后直接丟棄。（）答案：×（注：需確保無法復原，粉碎后應集中回收或焚燒）12.處方記錄用于科研時，只要進行匿名化處理，無需取得患者同意。（）答案：√（注：匿名化數(shù)據(jù)不涉及個人信息，可豁免同意）13.醫(yī)師調(diào)離原崗位后，其處方查詢權限應在3個工作日內(nèi)收回。（）答案：√14.處方記錄存儲介質(zhì)的物理安全（如防火、防水）屬于信息科職責，與藥學部無關。（）答案：×（注：紙質(zhì)處方由藥學部保存，需共同承擔物理安全責任）15.處方系統(tǒng)升級時，無需對歷史數(shù)據(jù)進行遷移驗證，直接覆蓋即可。（）答案：×（注：需驗證數(shù)據(jù)完整性和可訪問性，確保遷移后無丟失）四、簡答題（每題5分，共50分）1.簡述處方記錄安全管理的“三同步”原則。答案：處方記錄應與診療活動同步生成、同步存儲、同步歸檔。即醫(yī)師開具處方時，系統(tǒng)自動生成電子記錄；記錄實時存儲至安全數(shù)據(jù)庫；診療結(jié)束后，系統(tǒng)自動觸發(fā)歸檔流程（區(qū)分在線/離線存儲），確保全生命周期可追溯。2.列舉處方記錄訪問控制的“最小權限原則”具體要求。答案：①根據(jù)崗位角色分配權限（如醫(yī)師僅能訪問自己診療患者的記錄，藥師僅能核對、調(diào)劑，管理員僅能維護系統(tǒng)）；②權限范圍嚴格限定于工作必要（如禁止醫(yī)師查詢其他科室患者記錄）；③權限需動態(tài)調(diào)整（崗位變動時及時收回/新增權限）；④禁止默認全權限賬號（如“超級管理員”需分級管理）。3.電子處方記錄的“可靠電子簽名”需滿足哪些條件？答案：①電子簽名制作數(shù)據(jù)僅由簽名人控制；②簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)；③簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)；④通過依法設立的電子認證服務機構(gòu)（CA機構(gòu)）認證，確保簽名的真實性和不可抵賴性。4.處方記錄泄露事件的分級標準是什么？答案：①一般事件：泄露患者數(shù)≤50人，未造成嚴重后果；②較大事件：泄露患者數(shù)51-200人，或造成患者隱私被惡意傳播；③重大事件：泄露患者數(shù)＞200人，或?qū)е禄颊呷松韨?、財產(chǎn)損失，或引發(fā)社會公共事件。5.簡述處方記錄存儲介質(zhì)的管理要求。答案：①在線存儲（如數(shù)據(jù)庫服務器）：采用冗余陣列（RAID）、加密存儲，定期備份至異地；②離線存儲（如磁帶、光盤）：標注存儲內(nèi)容、時間、責任人，專柜上鎖，環(huán)境滿足溫濕度（18-22℃，35-45%濕度）、防火、防磁要求；③移動存儲介質(zhì)（如U盤）：禁止用于處方記錄存儲，特殊情況需審批并加密；④存儲介質(zhì)淘汰時：通過專業(yè)工具徹底擦除數(shù)據(jù)（如覆蓋3次以上），無法擦除的物理銷毀并記錄。6.患者申請復制處方記錄時，醫(yī)院應如何處理？答案：①核實身份（患者本人需出示身份證，委托他人需委托書+雙方身份證）；②確認復制范圍（僅患者本人記錄，不包含他人信息）；③提供復制件（紙質(zhì)或電子格式，需加蓋醫(yī)院公章或電子簽章）；④記錄復制時間、申請人、內(nèi)容，并留存?zhèn)浒?；⑤如涉及敏感信息（如精神類藥品），需提醒患者妥善保管?.處方記錄安全審計的主要內(nèi)容有哪些？答案：①訪問日志審計：誰（賬號/人員）、何時（時間戳）、訪問了什么（患者ID/處方編號）、操作類型（查詢/修改/導出）；②異常行為審計：非工作時間訪問、同一賬號多地登錄、高頻次查詢不同患者記錄；③數(shù)據(jù)修改審計：修改前/后內(nèi)容對比，修改原因備注；④系統(tǒng)漏洞審計：未修復的安全補丁、弱口令賬號、未授權的第三方接口。8.醫(yī)院與互聯(lián)網(wǎng)醫(yī)院平臺對接時，處方記錄傳輸?shù)陌踩笥心男?？答案：①采用國密算法（如SM4）加密傳輸，確保傳輸過程不可破譯；②建立安全通道（如VPN），防止中間人攻擊；③驗證接收方身份（數(shù)字證書認證），避免偽冒平臺；④限制傳輸數(shù)據(jù)范圍（僅必要信息：患者姓名、診斷、藥品、用法用量）；⑤記錄傳輸日志（時間、發(fā)送方、接收方、數(shù)據(jù)量），并留存至少5年。9.簡述處方記錄應急響應的“黃金48小時”處置流程。答案：①0-2小時：發(fā)現(xiàn)泄露后立即阻斷系統(tǒng)訪問（如關閉接口、凍結(jié)賬號），啟動應急預案，通知信息科、法務部、醫(yī)務科；②2-24小時：評估泄露范圍（患者數(shù)量、信息類型），向衛(wèi)生健康主管部門報告（24小時內(nèi)），聯(lián)系CA機構(gòu)驗證系統(tǒng)安全；③24-48小時：通知受影響患者（通過短信、電話，說明泄露內(nèi)容及補救措施），同步警方（如涉及刑事犯罪），開展內(nèi)部調(diào)查（鎖定責任人）；④48小時后：發(fā)布公開聲明（如有必要），修復系統(tǒng)漏洞，加強員工培訓，提交整改報告。10.如何區(qū)分“去標識化”與“匿名化”處方記錄？答案：①去標識化：通過技術手段移除或替換個人標識（如姓名→“患者123”），但仍可通過其他信息（如年齡、疾病史）關聯(lián)到特定個人，屬于個人信息范疇，使用時需遵守《個人信息保護法》；②匿名化：徹底消除所有可識別信息，無法通過任何方式關聯(lián)到特定個人，不屬于個人信息，使用時無需取得患者同意。五、案例分析題（每題15分，共75分）案例1：2025年3月，某三甲醫(yī)院藥學部發(fā)現(xiàn)，一名實習藥師在輪訓期間使用帶教藥師賬號，查詢了200余名患者的處方記錄（非其負責的患者），并將部分記錄通過私人郵箱發(fā)送至個人電腦。問題：（1）分析該事件暴露的安全隱患；（2）提出整改措施。答案：（1）安全隱患：①賬號管理漏洞（允許實習藥師使用帶教老師賬號，未分配獨立權限賬號）；②權限控制缺失（實習藥師賬號被賦予超出必要的查詢權限）；③日志審計未覆蓋（未及時發(fā)現(xiàn)非工作時間/非職責范圍的查詢行為）；④員工安全意識不足（實習藥師未意識到違規(guī)查詢的法律風險）；⑤數(shù)據(jù)外發(fā)管控缺失（未限制系統(tǒng)向私人郵箱發(fā)送數(shù)據(jù)）。（2）整改措施：①為實習人員分配獨立賬號，權限限定為“僅查看自己負責患者的記錄”；②啟用雙因素認證（賬號+動態(tài)驗證碼），禁止向私人郵箱/移動設備導出處方數(shù)據(jù)；③加強日志監(jiān)控（設置預警規(guī)則：如單日查詢超50條非職責患者記錄自動報警）；④開展全員安全培訓（重點強調(diào)賬號使用規(guī)范、數(shù)據(jù)外發(fā)限制）；⑤修訂《實習人員管理辦法》，明確違規(guī)查詢的處罰條款（如終止實習、納入行業(yè)黑名單）。案例2：某社區(qū)醫(yī)院信息系統(tǒng)遭遇勒索軟件攻擊，處方數(shù)據(jù)庫被加密，攻擊者要求支付5比特幣解密。問題：（1）醫(yī)院應如何應對？（2）如何預防此類事件再次發(fā)生？答案：（1）應對措施：①立即斷開系統(tǒng)與互聯(lián)網(wǎng)連接（防止病毒擴散），啟用離線備份恢復數(shù)據(jù)（優(yōu)先恢復近7天的處方記錄）；②不支付贖金（避免助長攻擊行為），聯(lián)系公安機關網(wǎng)安部門介入調(diào)查；③向衛(wèi)生健康主管部門報告事件（24小時內(nèi)），說明影響范圍（如是否影響患者取藥）；④臨時切換至紙質(zhì)處方流程（由醫(yī)師手寫，藥師手工登記），確保診療正常進行；⑤修復系統(tǒng)漏洞（安裝最新補丁，關閉不必要的端口），更換所有賬號密碼（尤其是管理員賬號）。（2）預防措施：①定期備份處方數(shù)據(jù)（每日增量備份+每周全量備份），備份存儲于離線介質(zhì)（如專用硬盤）并物理隔離；②部署網(wǎng)絡安全防護設備（如入侵檢測系統(tǒng)、防火墻），開啟勒索軟件專項防御功能；③對員工進行安全培訓（如不點擊陌生郵件鏈接、不連接未知WiFi）；④建立“白名單”制度（僅允許授權設備/軟件訪問處方系統(tǒng)）；⑤與第三方安全服務商簽訂監(jiān)測協(xié)議（24小時監(jiān)控異常流量）。案例3：患者張某到醫(yī)院投訴，稱其在某醫(yī)藥電商平臺收到一條推送：“根據(jù)您2023年的處方記錄，推薦購買XX降壓藥”。經(jīng)查，該平臺通過醫(yī)院合作的健康管理公司獲取了張某的處方信息。問題：（1）該事件中存在哪些違規(guī)行為？（2）醫(yī)院應承擔哪些責任？答案：（1）違規(guī)行為：①健康管理公司超出約定用途使用處方數(shù)據(jù)（原合作目的為“健康隨訪”，實際用于商業(yè)推廣）；②未取得患者張某的明確同意（《個人信息保護法》要求，使用個人信息需“最小必要”且“明確同意”）；③醫(yī)院未對合作方的數(shù)據(jù)使用行為進行監(jiān)督（未要求提供數(shù)據(jù)使用日志）；④醫(yī)藥電商平臺未驗證數(shù)據(jù)來源合法性（直接使用未授權的患者信息）。（2）醫(yī)院責任：①未盡到數(shù)據(jù)共享的監(jiān)管義務（需對合作方的安全措施、使用范圍進行持續(xù)評估）；②可能面臨行政處罰（根據(jù)《數(shù)據(jù)安全法》，可處500萬元以下罰款或上一年度營業(yè)額5%以下罰款）；③需向患者張某道歉并賠償（如因信息泄露造成損失，承擔民事責任）；④需終止與健康管理公司的合作，對相關責任人（如對接的醫(yī)務科員工）進行內(nèi)部追責。案例4：某醫(yī)院信息科工程師王某離職時，未按規(guī)定移交系統(tǒng)管理員賬號。3個月后，醫(yī)院發(fā)現(xiàn)處方系統(tǒng)日志中出現(xiàn)王