2025年臨床試驗數(shù)據(jù)管理員臨床試驗數(shù)據(jù)安全試題及參考答案一、單選題（每題1分，共30分。每題只有一個最佳答案，請將正確選項字母填入括號內(nèi)）1.依據(jù)ICHE6(R3)草案，對源數(shù)據(jù)最基本的安全要求是（）A.可溯源、可更改、可保存B.可溯源、可溯源、可溯源C.可溯源、可讀取、可備份D.可溯源、可驗證、可銷毀【答案】B2.2025年3月國家藥監(jiān)局發(fā)布的《臨床試驗數(shù)據(jù)安全與個人信息保護技術(shù)指南》中，對跨境傳輸去標(biāo)識化數(shù)據(jù)的最小哈希長度要求是（）A.128位B.160位C.256位D.512位【答案】C3.某國際多中心試驗采用CDISCSDTMv2.0，受試者唯一標(biāo)識符（USUBJID）在數(shù)據(jù)庫中被加密存儲，下列加密方式符合FDA2025年數(shù)據(jù)鎖定標(biāo)準(zhǔn)的是（）A.3DESB.AES128GCMC.RSA1024D.MD5【答案】B4.在EDC系統(tǒng)角色權(quán)限矩陣中，數(shù)據(jù)管理員（DM）對“數(shù)據(jù)鎖定”狀態(tài)擁有下列哪項權(quán)限（）A.解鎖并修改B.查看并導(dǎo)出C.刪除并重建D.鎖定并簽名【答案】B5.2025年新版《人類遺傳資源管理條例實施細則》規(guī)定，外方單位如需訪問中方人群級別基因組數(shù)據(jù)，須通過的安全評估等級為（）A.一級B.二級C.三級D.四級【答案】D6.當(dāng)發(fā)生SAE與數(shù)據(jù)泄露“雙重事件”時，數(shù)據(jù)管理員應(yīng)在得知事件后多少小時內(nèi)向申辦者安全官報告（）A.2B.6C.12D.24【答案】B7.在差分隱私機制中，隱私預(yù)算ε的取值越小，意味著（）A.數(shù)據(jù)可用性越高B.隱私保護強度越高C.查詢速度越快D.系統(tǒng)開銷越低【答案】B8.2025年歐盟CTR生效后，對未成年人受試者影像數(shù)據(jù)的假名化處理，必須采用（）A.單向哈希+鹽值B.可逆加密C.同態(tài)加密D.動態(tài)令牌【答案】A9.數(shù)據(jù)管理員在鎖庫前進行“醫(yī)學(xué)編碼”時，發(fā)現(xiàn)MedDRAv25.1未收錄某AE術(shù)語，正確的安全做法是（）A.使用自由文本并記錄理由B.向上級申請延遲鎖庫C.選用最高層級SOC術(shù)語D.自行翻譯后提交【答案】A10.在零信任架構(gòu)下，EDC系統(tǒng)對用戶每次API調(diào)用均需驗證的“三要素”不包括（）A.身份B.設(shè)備C.位置D.年齡【答案】D11.2025年《中國臨床試驗數(shù)據(jù)跨境傳輸安全白皮書》建議，對含有生物特征的數(shù)據(jù)集進行k匿名處理時，k值最低為（）A.3B.5C.10D.15【答案】B12.當(dāng)EDC系統(tǒng)與第三方醫(yī)學(xué)影像云集成時，最安全的接口認證方式是（）A.靜態(tài)APIKeyB.OAuth2.0+mTLSC.用戶名口令D.IP白名單【答案】B13.數(shù)據(jù)管理員在數(shù)據(jù)清理過程中發(fā)現(xiàn)某中心100%的體重記錄為整數(shù)，懷疑為系統(tǒng)默認值，應(yīng)首先調(diào)取的審計軌跡字段是（）A.用戶IDB.修改時間C.舊值/新值D.修改原因【答案】C14.2025年FDA要求對電子簽名采用FIPS1403Level3以上模塊，以下符合要求的是（）A.手寫簽名掃描上傳B.圖形化簽名+時間戳C.基于硬件加密模塊的PKID.動態(tài)短信驗證碼【答案】C15.在數(shù)據(jù)匿名化過程中，下列變量中“準(zhǔn)標(biāo)識符”風(fēng)險最高的是（）A.年齡75歲B.性別男C.血型ABD.腫瘤分期IV【答案】A16.2025年《臨床試驗數(shù)據(jù)安全事件分級》將“受試者身份可被非授權(quán)還原”定義為（）A.輕微事件B.一般事件C.重大事件D.特別重大事件【答案】C17.數(shù)據(jù)管理員在導(dǎo)出CSV文件時，為防止“CSV注入”攻擊，最安全的前綴字符是（）A.@B.’C.TABD.=【答案】B18.依據(jù)ISO/IEC27799:2025，對臨床試驗云備份數(shù)據(jù)加密，建議的密鑰輪換周期為（）A.30天B.90天C.180天D.365天【答案】B19.在數(shù)據(jù)質(zhì)量風(fēng)險評估中，若“數(shù)據(jù)泄露概率”=0.1，“影響程度”=9，則風(fēng)險等級為（）A.低B.中C.高D.極高【答案】C20.2025年國內(nèi)EDC主流版本已支持“區(qū)塊鏈不可篡改日志”，其共識算法通常采用（）A.PoWB.PoSC.BFTD.Raft【答案】D21.數(shù)據(jù)管理員使用SAS9.4M8進行數(shù)據(jù)脫敏，對日期變量采用“日期平移±k天”方法，k的取值應(yīng)滿足（）A.1≤k≤7B.1≤k≤30C.1≤k≤90D.1≤k≤365【答案】C22.在臨床試驗數(shù)據(jù)倉庫（CDW）中，對PHI字段進行“令牌化”后，原始值應(yīng)存放在（）A.同一庫不同表B.同一表不同字段C.獨立HSMD.日志文件【答案】C23.2025年《個人信息保護法》修正案將“敏感個人信息”擴展至“基因組數(shù)據(jù)”，其處理需履行的額外義務(wù)是（）A.數(shù)據(jù)出境評估B.倫理委員會批準(zhǔn)C.單獨告知+書面同意D.數(shù)據(jù)本地化【答案】C24.數(shù)據(jù)管理員在鎖庫前進行“源數(shù)據(jù)一致性核對”時，發(fā)現(xiàn)中心上傳的PDF病例報告表頁碼缺失，應(yīng)首先（）A.電話通知PIB.發(fā)起QueryC.拒絕鎖庫D.記錄偏差【答案】B25.在數(shù)據(jù)安全滲透測試中，對EDC應(yīng)用層最需關(guān)注的OWASP2025新上榜風(fēng)險是（）A.SQL注入B.服務(wù)器端請求偽造C.弱加密D.跨站腳本【答案】B26.2025年《臨床試驗數(shù)據(jù)安全能力成熟度模型》將“可驗證銷毀”定義為第幾級（）A.1B.2C.3D.4【答案】D27.數(shù)據(jù)管理員使用Python進行數(shù)據(jù)脫敏，調(diào)用pandas.redact()函數(shù)時，參數(shù)“noise=‘Gaussian’”表示添加（）A.均勻噪聲B.高斯噪聲C.拉普拉斯噪聲D.椒鹽噪聲【答案】B28.在數(shù)據(jù)安全事件應(yīng)急響應(yīng)演練中，需在最短時間內(nèi)恢復(fù)“黃金鏡像”，其RTO應(yīng)不大于（）A.15分鐘B.30分鐘C.1小時D.4小時【答案】B29.2025年《醫(yī)療器械臨床試驗數(shù)據(jù)安全指南》規(guī)定，對植入式器械序列號字段，脫敏首選方法是（）A.哈希化B.截斷C.抑制D.泛化【答案】A30.數(shù)據(jù)管理員在撰寫數(shù)據(jù)管理計劃（DMP）安全章節(jié)時，必須引用的國家標(biāo)準(zhǔn)是（）A.GB/T352732025B.GB/T222392025C.GB/T250002025D.GB/T209842025【答案】A二、共用題干單選題（每題2分，共20分。以下提供兩個案例，請根據(jù)案例信息作答）【案例一】某國際多中心III期腫瘤試驗，計劃入組900例，中國中心300例。EDC采用WebEDC7.3，數(shù)據(jù)庫位于歐盟云，需向中國境外傳輸去標(biāo)識化數(shù)據(jù)。中國PI于2025年4月1日一名受試者因免疫相關(guān)性肝炎導(dǎo)致住院，同時發(fā)現(xiàn)該受試者基因測序原始fastq文件在傳輸過程中被未知IP下載。31.數(shù)據(jù)管理員首先應(yīng)啟動的跨部門流程是（）A.SAE報告B.數(shù)據(jù)泄露應(yīng)急響應(yīng)C.方案偏離記錄D.質(zhì)量控制報告【答案】B32.對fastq文件泄露范圍的初步評估，應(yīng)優(yōu)先查驗（）A.日志完整性B.文件大小C.文件格式D.壓縮比例【答案】A33.依據(jù)2025年《個人信息出境標(biāo)準(zhǔn)合同辦法》，數(shù)據(jù)管理員需在得知泄露后多少小時內(nèi)向省級以上網(wǎng)信辦報告（）A.12B.24C.48D.72【答案】C34.對已被下載的fastq文件，最可行的技術(shù)補救措施是（）A.遠程擦除B.密鑰輪換使文件不可解密C.發(fā)布安全公告D.重新去標(biāo)識化【答案】B35.數(shù)據(jù)管理員在事件總結(jié)報告中，應(yīng)將此事件歸類為（）A.輕微事件B.一般事件C.重大事件D.特別重大事件【答案】C【案例二】某新冠疫苗IV期研究采用手機App采集受試者電子日記卡，數(shù)據(jù)通過TLS1.3上傳至AWS東京區(qū)域，每日增量約2GB。2025年5月10日，AWS配置錯誤導(dǎo)致S3存儲桶可公開訪問，持續(xù)6小時，涉及已上傳的6789份音頻文件（咳嗽錄音）。36.數(shù)據(jù)管理員首先應(yīng)執(zhí)行的AWSCLI命令是（）A.awss3lsB.awss3apiputbucketaclC.awss3rmD.awscloudtraillookupevents【答案】B37.對公開訪問的音頻文件，最急需評估的內(nèi)容是（）A.是否含受試者聲紋B.文件采樣率C.文件時長D.文件編碼格式【答案】A38.依據(jù)AWS共享責(zé)任模型，此次配置錯誤責(zé)任方為（）A.AWSB.申辦者C.數(shù)據(jù)管理員D.受試者【答案】B39.數(shù)據(jù)管理員在事件關(guān)閉前，必須獲得的AWS報告是（）A.SOC2TypeIB.SOC2TypeIIC.IncidentResponseSummaryD.PenetrationTestReport【答案】C40.對受試者補償方案的最終審批機構(gòu)是（）A.倫理委員會B.數(shù)據(jù)安全委員會C.申辦者董事會D.衛(wèi)健委【答案】A三、多選題（每題2分，共20分。每題有兩個或兩個以上正確答案，多選少選均不得分）41.以下屬于2025年ICHE6(R3)新增“數(shù)據(jù)安全”要素的有（）A.數(shù)據(jù)可驗證銷毀B.數(shù)據(jù)最小化C.數(shù)據(jù)可攜帶權(quán)D.數(shù)據(jù)跨境評估E.數(shù)據(jù)質(zhì)量閾值【答案】A、B、C42.在數(shù)據(jù)匿名化過程中，可用于評估重識別風(fēng)險的指標(biāo)包括（）A.k匿名B.l多樣性C.tclosenessD.ε差分隱私E.ROCAUC【答案】A、B、C、D43.數(shù)據(jù)管理員在鎖庫前進行“數(shù)據(jù)完整性核查”時，必須校驗的內(nèi)容有（）A.外鍵一致性B.日期邏輯C.缺失頁面D.重復(fù)入組E.隨機化比例【答案】A、B、D、E44.以下屬于FIPS1403Level3硬件模塊特征的有（）A.防開啟封條B.角色認證C.密鑰清零D.真隨機數(shù)發(fā)生器E.側(cè)信道抵抗【答案】A、B、C、D、E45.在數(shù)據(jù)泄露事件應(yīng)急響應(yīng)中，必須立即隔離的系統(tǒng)包括（）A.生產(chǎn)EDCB.備份服務(wù)器C.日志服務(wù)器D.郵件網(wǎng)關(guān)E.域控服務(wù)器【答案】A、B、C46.2025年《臨床試驗數(shù)據(jù)安全評估清單》中，對AI輔助編碼工具要求披露的信息有（）A.訓(xùn)練數(shù)據(jù)來源B.模型版本C.算法可解釋性報告D.偏差測試結(jié)果E.商業(yè)授權(quán)協(xié)議【答案】A、B、C、D47.以下屬于“可驗證銷毀”技術(shù)實現(xiàn)的有（）A.物理粉碎B.加密擦除C.區(qū)塊鏈注銷D.密鑰托管失效E.云端回收站清空【答案】A、B、C、D48.在數(shù)據(jù)跨境傳輸風(fēng)險評估中，需重點考察的東道國因素有（）A.數(shù)據(jù)主權(quán)法律B.司法程序透明度C.網(wǎng)絡(luò)安全防護水平D.政治穩(wěn)定性E.匯率波動【答案】A、B、C、D49.數(shù)據(jù)管理員使用Python進行假名化時，可生成可逆令牌的庫有（）A.cryptography.fernetB.hashlibC.pyjwtD.sqlalchemyE.uuid【答案】A、C50.以下關(guān)于“零信任”架構(gòu)在EDC系統(tǒng)中的應(yīng)用描述正確的有（）A.永不信任，持續(xù)驗證B.默認開放內(nèi)網(wǎng)C.最小權(quán)限訪問D.動態(tài)信任評估E.基于邊界防護【答案】A、C、D四、判斷題（每題1分，共10分。正確請?zhí)睢啊獭?，錯誤填“×”）51.2025年后，所有臨床試驗數(shù)據(jù)無需再保存紙質(zhì)源文件。（×）52.差分隱私中的隱私預(yù)算ε可以無限累積而不影響安全性。（×）53.數(shù)據(jù)管理員可在未獲得受試者同意情況下將影像數(shù)據(jù)用于AI訓(xùn)練。（×）54.在數(shù)據(jù)鎖定后，任何角色均無法對數(shù)據(jù)進行修改。（×）55.區(qū)塊鏈日志一旦寫入，即可視為滿足ALCOA+中的“不可更改”要求。（√）56.數(shù)據(jù)脫敏后的數(shù)據(jù)集不再屬于個人信息。（×）57.2025年《人類遺傳資源管理條例》允許外方單位在通過四級評估后訪問原始基因組數(shù)據(jù)。（√）58.數(shù)據(jù)管理員可使用個人郵箱向申辦者發(fā)送含受試者標(biāo)識的CSV文件。（×）59.對音頻文件進行聲紋刪除后，可完全消除重識別風(fēng)險。（×）60.在數(shù)據(jù)安全事件調(diào)查中，數(shù)據(jù)管理員有義務(wù)配合監(jiān)管部門進行現(xiàn)場取證。（√）五、填空題（每空1分，共20分）61.2025年新版GCP將數(shù)據(jù)完整性定義為“數(shù)據(jù)的________、________、________、________和一致性”。【答案】準(zhǔn)確性、完整性、可追溯性、可讀性62.在數(shù)據(jù)跨境傳輸中，________技術(shù)可在不暴露原始數(shù)據(jù)前提下完成跨中心統(tǒng)計分析?！敬鸢浮柯?lián)邦學(xué)習(xí)63.數(shù)據(jù)管理員在DMP中應(yīng)明確數(shù)據(jù)備份的________、________和________策略。【答案】頻率、介質(zhì)、恢復(fù)64.依據(jù)ISO27799:2025，對醫(yī)療數(shù)據(jù)加密，推薦的對稱算法為________，密鑰長度不少于________位?！敬鸢浮緼ES256、25665.在數(shù)據(jù)匿名化中，將“出生日期”泛化為“出生年份”屬于________技術(shù)?！敬鸢浮糠夯?6.數(shù)據(jù)泄露事件發(fā)生后，數(shù)據(jù)管理員應(yīng)在________小時內(nèi)完成初步事件報告，并在________小時內(nèi)提交最終報告?！敬鸢浮?4、7267.2025年《個人信息出境標(biāo)準(zhǔn)合同》要求，數(shù)據(jù)接收方如發(fā)生兼并，應(yīng)重新進行________評估?！敬鸢浮總€人信息保護影響68.在零信任架構(gòu)中，________是動態(tài)訪問控制的核心組件，負責(zé)實時評估用戶風(fēng)險分?jǐn)?shù)?！敬鸢浮坎呗砸?9.數(shù)據(jù)管理員使用SHA256對受試者姓名進行哈希處理時，應(yīng)添加________以防止彩虹表攻擊?！敬鸢浮葵}值70.對臨床試驗數(shù)據(jù)進行“可驗證銷毀”時，最常用的加密擦除算法為________?！敬鸢浮緼ESKeyZeroization六、簡答題（每題10分，共30分）71.簡述數(shù)據(jù)管理員在數(shù)據(jù)跨境傳輸前需完成的五項核心安全評估工作，并指出每項工作