2025年醫(yī)院信息安全意識試題及答案一、單項選擇題（每題2分，共40分）1.某醫(yī)院護士在值班期間使用個人手機拍攝患者電子病歷界面，擬發(fā)送給帶教老師請教病情。該行為違反了以下哪項信息安全原則？A.最小授權原則B.數(shù)據(jù)最小化原則C.不可抵賴原則D.信息保密原則答案：D解析：患者病歷屬于敏感個人信息，未經(jīng)授權拍攝并傳輸至私人設備，違反信息保密原則。根據(jù)《個人信息保護法》第二十三條，個人信息處理者向其他個人信息處理者提供個人信息的，應當向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。2.醫(yī)院信息科工程師需遠程維護HIS系統(tǒng)，正確的操作流程是？A.使用公共WiFi連接VPN，輸入靜態(tài)密碼登錄B.通過醫(yī)院專用安全接入平臺，使用雙因素認證（短信驗證碼+動態(tài)令牌）登錄C.直接使用工程師個人賬號遠程桌面連接服務器D.將服務器賬號密碼告知值班護士代為操作答案：B解析：遠程維護核心系統(tǒng)需采用多因素認證（MFA）確保身份真實性，公共WiFi存在中間人攻擊風險，個人賬號直接連接或委托他人操作均違反最小權限和職責分離原則。3.實習醫(yī)生小張在打印患者檢驗報告時，誤將包含20份患者姓名、身份證號的文檔發(fā)送至科室公共郵箱。發(fā)現(xiàn)錯誤后，正確的處理方式是？A.立即刪除自己電腦中的文檔，假裝未發(fā)生B.聯(lián)系IT部門鎖定公共郵箱，撤回郵件（若系統(tǒng)支持），并上報信息安全辦公室C.私信提醒科室同事“勿查看公共郵箱新郵件”D.重新發(fā)送正確文檔后，忽略錯誤郵件答案：B解析：發(fā)生誤發(fā)敏感信息事件時，應立即采取控制措施（如撤回、鎖定），并按醫(yī)院《信息安全事件報告制度》上報，以便啟動后續(xù)調查和補救流程。4.醫(yī)院引入的第三方檢驗設備需接入醫(yī)院內網(wǎng)，設備供應商工程師提出使用自帶筆記本電腦調試。正確的處理方式是？A.允許接入，因設備調試需要B.要求工程師使用醫(yī)院提供的終端，安裝防病毒軟件并注冊設備準入系統(tǒng)C.由醫(yī)院工程師將設備接入外網(wǎng)調試，避免影響內網(wǎng)安全D.口頭登記工程師身份后直接接入答案：B解析：第三方人員使用自帶設備接入內網(wǎng)存在惡意軟件植入風險，需通過醫(yī)院終端準入系統(tǒng)進行安全檢查（如病毒掃描、補丁檢測），并限制訪問權限至僅調試所需網(wǎng)段。5.下列哪項不屬于醫(yī)院患者個人信息“最小必要”處理原則的應用？A.護士站僅顯示本科室患者的姓名、床位號，隱藏身份證號B.影像科醫(yī)生調閱患者CT報告時，系統(tǒng)自動屏蔽其他科室診療記錄C.醫(yī)院官網(wǎng)公示全體醫(yī)護人員姓名、職稱及擅長領域D.財務科僅收集患者醫(yī)?？ㄌ栍糜谫M用結算，不額外索要家庭住址答案：C解析：官網(wǎng)公示醫(yī)護人員基本信息屬于合理信息公開，但患者個人信息的處理需嚴格遵循最小必要，而醫(yī)護人員信息不屬于患者個人信息范疇，因此C選項不涉及患者信息處理原則。6.醫(yī)生李某收到一封標題為“2025年醫(yī)保政策調整通知（急）”的郵件，附件為“醫(yī)保新政策.pdf”。正確的處理方式是？A.直接打開附件，因發(fā)件人顯示為“市醫(yī)保局”B.轉發(fā)給科室同事共同學習C.登錄市醫(yī)保局官方網(wǎng)站核實通知真實性，確認無誤后通過醫(yī)院內網(wǎng)專用軟件下載附件D.右鍵掃描附件無病毒后打開答案：C解析：釣魚郵件常模仿官方機構發(fā)送，需通過官方渠道（如官網(wǎng)、官方聯(lián)系方式）驗證信息真實性，避免直接打開未知附件。即使殺毒軟件未檢測到病毒，也可能存在0day漏洞攻擊。7.醫(yī)院信息系統(tǒng)登錄密碼的最佳設置方式是？A.姓名首字母+生日（如zhangsan1985）B.包含大小寫字母、數(shù)字和特殊符號的12位以上組合（如Hosp@2025Safe3）C.與個人社交賬號密碼相同（便于記憶）D.每半年更換一次，新密碼與舊密碼僅修改最后一位數(shù)字答案：B解析：符合復雜度要求的密碼可有效抵御暴力破解，A選項使用弱密碼（生日易被猜測），C選項違反“不同系統(tǒng)不同密碼”原則，D選項屬于“滾動密碼”，仍存在被猜測風險。8.護士小王在值班結束后未退出電腦登錄界面即離開，被保潔人員誤觸操作導致患者信息被瀏覽。該事件的主要責任方是？A.保潔人員（因誤觸操作）B.醫(yī)院（未安裝屏幕自動鎖定功能）C.小王（未履行個人終端安全管理責任）D.IT部門（未限制未登錄用戶訪問權限）答案：C解析：員工需對個人使用的終端負責，離開時應主動退出系統(tǒng)或啟用屏幕鎖定（如設置5分鐘無操作自動鎖定），未采取防護措施導致的信息泄露由使用者承擔主要責任。9.醫(yī)院開展信息安全培訓后，要求員工簽署《信息安全承諾書》。承諾書的核心內容不包括？A.承諾不泄露工作中獲取的患者信息B.承諾定期更新個人終端操作系統(tǒng)補丁C.承諾對他人借用賬號的行為承擔連帶責任D.承諾參與醫(yī)院組織的年度信息安全考核答案：B解析：終端補丁更新屬于IT部門的系統(tǒng)管理職責（如通過補丁管理平臺統(tǒng)一推送），員工承諾內容應聚焦于個人行為規(guī)范（如不泄露信息、不轉借賬號）。10.某患者家屬要求復印其配偶的電子病歷，正確的流程是？A.核對家屬身份證與患者關系證明（如結婚證），通過醫(yī)院病歷復印系統(tǒng)生成加蓋電子簽章的PDF文件B.直接將電子病歷截圖發(fā)送至家屬提供的郵箱C.打印紙質病歷后手工蓋章，交予家屬D.因患者未親自申請，拒絕復印答案：A解析：根據(jù)《醫(yī)療機構病歷管理規(guī)定》第十九條，患者本人或其代理人申請復印病歷時，需提供有效身份證明及關系證明，醫(yī)院應通過正規(guī)渠道提供加蓋電子簽章的病歷復制件，避免直接截圖或紙質文件流轉風險。11.醫(yī)院移動護理系統(tǒng)（PDA）的安全管理要求不包括？A.PDA僅綁定護士個人工號，離職時注銷賬號B.PDA存儲的患者信息在斷開網(wǎng)絡后自動加密C.PDA丟失后，護士需在30分鐘內上報并遠程鎖定設備D.PDA可連接科室公共WiFi，方便實時同步數(shù)據(jù)答案：D解析：移動護理終端應使用醫(yī)院專用無線局域網(wǎng)（如通過802.1X認證的醫(yī)療專網(wǎng)），避免連接公共WiFi導致數(shù)據(jù)泄露。12.醫(yī)院信息安全領導小組發(fā)現(xiàn)某科室存在批量患者信息導出記錄，經(jīng)核查為護士為統(tǒng)計科研數(shù)據(jù)未經(jīng)審批擅自導出。該行為違反了以下哪項制度？A.《醫(yī)院信息系統(tǒng)權限管理制度》B.《患者信息分級分類管理制度》C.《數(shù)據(jù)出境安全評估制度》D.《重要數(shù)據(jù)處理審批制度》答案：D解析：批量導出患者信息（屬于重要數(shù)據(jù)）需提前向信息安全管理部門申請，說明用途、范圍和防護措施，未經(jīng)審批的導出行為違反重要數(shù)據(jù)處理審批制度。13.下列哪項操作符合“最小權限原則”？A.藥房工作人員賬號同時具備藥品庫存查詢和處方修改權限B.實習醫(yī)生賬號僅能查看本科室患者的檢驗報告，無法修改C.信息科工程師賬號可訪問所有業(yè)務系統(tǒng)的后臺數(shù)據(jù)庫D.行政人員賬號具備醫(yī)院官網(wǎng)內容發(fā)布和用戶管理權限答案：B解析：最小權限原則要求用戶僅獲得完成工作所需的最低權限，實習醫(yī)生只需查看報告無需修改，符合該原則；其他選項均存在權限過度授予問題。14.醫(yī)院發(fā)生患者信息泄露事件后，應在多長時間內向衛(wèi)生健康主管部門報告？A.24小時B.48小時C.72小時D.立即（1小時內）答案：A解析：根據(jù)《醫(yī)療質量安全事件報告暫行規(guī)定》和《個人信息保護法》第五十一條，發(fā)生個人信息泄露、篡改、丟失的，個人信息處理者應當立即采取補救措施，并通知履行個人信息保護職責的部門和個人，其中向主管部門報告的時限一般不超過24小時。15.醫(yī)生使用醫(yī)院提供的平板電腦（已綁定工號）在門診診室記錄患者主訴時，正確的行為是？A.診室無人時，將平板電腦放置在診桌上離開B.患者家屬圍觀時，用身體遮擋屏幕防止信息被查看C.為方便記錄，將患者身份證號直接輸入平板電腦備忘錄D.下班時將平板電腦帶回家繼續(xù)撰寫病歷答案：B解析：需采取物理防護措施（如遮擋屏幕）防止患者信息被無關人員窺視；A選項可能導致設備丟失，C選項將敏感信息存儲于非授權應用，D選項違反移動設備“專機專用、不外帶”規(guī)定。16.醫(yī)院信息安全演練的主要目的是？A.測試信息系統(tǒng)的運行速度B.驗證員工對信息安全事件的應急響應能力C.評估IT部門的設備采購預算合理性D.檢查醫(yī)護人員的病歷書寫規(guī)范答案：B解析：安全演練的核心是通過模擬攻擊（如勒索軟件、數(shù)據(jù)泄露）檢驗應急預案的有效性和員工的協(xié)同處理能力。17.某科室因業(yè)務需要需將患者檢驗數(shù)據(jù)提供給合作研究機構，正確的流程是？A.科室主任與研究機構簽訂協(xié)議后直接導出數(shù)據(jù)B.報信息安全辦公室審核，通過數(shù)據(jù)脫敏（刪除姓名、身份證號）后提供，并取得患者書面同意C.將原始數(shù)據(jù)加密后通過郵件發(fā)送給研究機構聯(lián)系人D.要求研究機構簽署保密協(xié)議后提供原始數(shù)據(jù)答案：B解析：對外提供患者個人信息需滿足“最小必要”原則（脫敏處理）、取得患者同意（除非法律另有規(guī)定），并經(jīng)醫(yī)院信息安全管理部門審批。18.護士發(fā)現(xiàn)醫(yī)療廢物暫存處有一張未完全粉碎的患者檢查申請單（包含姓名、檢查項目），正確的處理是？A.撿回后補碎，上報科室護士長B.將申請單重新投入醫(yī)療垃圾桶C.撕成兩半后丟棄D.忽略，因僅包含檢查項目無敏感信息答案：A解析：包含患者姓名的紙質單據(jù)屬于敏感信息載體，未規(guī)范銷毀可能導致信息泄露，需補碎并上報以便追溯責任和改進流程。19.醫(yī)院信息系統(tǒng)顯示某賬號連續(xù)5次登錄失敗，系統(tǒng)自動鎖定該賬號。這是哪種安全機制的應用？A.訪問控制B.入侵檢測C.賬戶鎖定策略D.數(shù)據(jù)加密答案：C解析：賬戶鎖定策略通過限制錯誤登錄次數(shù)防止暴力破解，屬于身份認證的安全控制措施。20.下列哪項不屬于社會工程學攻擊手段？A.冒充醫(yī)院領導要求護士提供患者信息B.在護士站放置帶病毒的U盤（標注“科室培訓資料”）C.通過釣魚郵件誘導醫(yī)生點擊鏈接輸入賬號密碼D.使用漏洞掃描工具檢測醫(yī)院系統(tǒng)弱點答案：D解析：社會工程學攻擊依賴對人的心理操縱（如欺騙、誘導），而漏洞掃描屬于技術攻擊手段。二、多項選擇題（每題3分，共30分，少選、多選、錯選均不得分）21.醫(yī)院員工在處理患者信息時，應遵守的“三不”原則包括？A.不泄露：不向無關人員透露患者信息B.不存儲：不在非授權設備中存儲患者信息C.不傳播：不通過私人渠道傳輸患者信息D.不修改：不擅自修改患者電子病歷內容答案：ABC解析：“三不”原則通常指不泄露、不存儲、不傳播，不修改屬于病歷管理規(guī)范，非通用“三不”原則。22.醫(yī)院移動設備（如手機、平板）的安全管理措施包括？A.安裝醫(yī)院統(tǒng)一推送的移動安全管理（MDM）軟件B.禁止安裝非醫(yī)院應用商店的APPC.設備丟失后，通過MDM遠程擦除患者信息D.使用設備拍攝手術過程用于學術交流答案：ABC解析：D選項需經(jīng)患者同意并通過醫(yī)院宣傳部門審核，不屬于常規(guī)安全管理措施。23.下列哪些行為可能導致醫(yī)院信息系統(tǒng)被植入勒索軟件？A.點擊郵件中的不明鏈接B.安裝科室同事推薦的“便捷辦公軟件”C.定期更新操作系統(tǒng)補丁D.使用醫(yī)院專用U盤拷貝數(shù)據(jù)答案：AB解析：勒索軟件通常通過釣魚鏈接、惡意軟件安裝傳播，定期打補丁（C）和使用專用存儲設備（D）是防護措施。24.醫(yī)院患者信息分級中，“高度敏感信息”包括？A.患者姓名、年齡B.身份證號、醫(yī)?？ㄌ朇.診斷結果、治療方案D.聯(lián)系方式、家庭住址答案：BCD解析：姓名、年齡屬于一般個人信息，其他選項涉及身份識別、健康隱私，屬于高度敏感信息。25.信息安全事件發(fā)生后，需記錄的關鍵信息包括？A.事件發(fā)生時間、涉及系統(tǒng)/設備B.受影響的患者數(shù)量及信息類型C.初步判斷的原因（如誤操作、外部攻擊）D.參與處理的人員及采取的措施答案：ABCD解析：完整的事件記錄需包含時間、地點、影響、原因、處理過程等要素，便于后續(xù)分析和改進。26.醫(yī)院遠程辦公的安全要求包括？A.使用醫(yī)院提供的VPN接入內網(wǎng)B.遠程終端需安裝防病毒軟件并開啟防火墻C.辦公電腦與家用電腦為同一設備時，需設置獨立賬戶隔離工作數(shù)據(jù)D.可通過私人微信傳輸患者檢查報告（僅醫(yī)生與患者本人溝通）答案：ABC解析：私人社交工具（如微信）存在數(shù)據(jù)泄露風險，禁止用于傳輸患者敏感信息。27.下列哪些屬于醫(yī)院信息安全“紅線”行為？A.將工卡借給同事登錄系統(tǒng)B.在科室公共電腦上保存?zhèn)€人患者管理表格C.未經(jīng)審批將患者信息用于科研統(tǒng)計D.下班后關閉個人電腦顯示器答案：ABC解析：工卡借用、違規(guī)存儲/使用患者信息均屬于嚴重違規(guī)行為，關閉顯示器是正常操作。28.醫(yī)院信息安全培訓的重點人群包括？A.新入職醫(yī)護人員B.信息科技術人員C.第三方合作機構駐場人員D.后勤保障部門員工答案：ABCD解析：所有可能接觸患者信息或醫(yī)院系統(tǒng)的人員均需接受安全培訓，包括第三方人員和后勤人員（如接觸紙質病歷的保潔員）。29.防止醫(yī)院內部人員誤操作導致信息泄露的措施有？A.系統(tǒng)設置操作日志審計功能B.對高風險操作（如批量導出）進行二次確認C.定期開展“誤操作場景”模擬培訓D.限制所有員工的信息訪問權限至最低必要答案：ABCD解析：日志審計可追溯操作，二次確認減少誤操作，模擬培訓提升意識，最小權限降低風險。30.醫(yī)院信息安全管理制度應包括？A.《患者信息分級分類管理辦法》B.《信息系統(tǒng)賬號權限審批流程》C.《移動設備使用安全規(guī)范》D.《信息安全事件應急響應預案》答案：ABCD解析：制度需覆蓋分類管理、權限審批、設備使用、應急響應等全流程。三、判斷題（每題1分，共10分，正確打“√”，錯誤打“×”）31.醫(yī)生可以將患者的姓名、病情摘要用于學術會議案例分享，無需取得患者同意。（×）解析：根據(jù)《個人信息保護法》第二十三條，用于學術研究等目的需取得患者同意（匿名化處理的除外）。32.醫(yī)院內網(wǎng)電腦可以連接私人U盤，只要先查殺病毒。（×）解析：私人U盤可能攜帶未知病毒或惡意軟件，內網(wǎng)設備應使用醫(yī)院統(tǒng)一配發(fā)的“白名單”存儲設備。33.護士發(fā)現(xiàn)同事違規(guī)查看非負責患者的病歷，應立即向信息安全辦公室舉報。（√）解析：內部監(jiān)督是信息安全管理的重要環(huán)節(jié)，發(fā)現(xiàn)違規(guī)行為需及時上報。34.醫(yī)院信息系統(tǒng)的默認密碼（如“123456”）可以直接使用，只要定期修改。（×）解析：默認密碼安全性極低，必須在首次登錄時修改為符合復雜度要求的密碼。35.患者在門診大廳自助機打印報告時，屏幕顯示的個人信息無需遮擋，因屬于公開區(qū)域。（×）解析：自助機屏幕應設計為僅顯示當前用戶信息，并通過防窺膜等物理措施防止他人窺視。36.醫(yī)院官網(wǎng)可以公示患者的治療效果案例（包含姓名、照片），只要患者已康復出院。（×）解析：使用患者姓名、照片需取得明確同意，即使康復也需尊重隱私。37.信息科工程師可以將系統(tǒng)管理員賬號密碼告知其他工程師，便于協(xié)同維護。（×）解析：管理員賬號需專人專用，禁止共享密碼，協(xié)同維護應通過權限分配或臨時賬號實現(xiàn)。38.醫(yī)院開展信息安全考核時，允許員工查閱資料答題，因考核目的是提升意識而非測試記憶。（√）解析：考核重點是理解和應用能力，允許查閱資料可避免形式主義。39.移動護理PDA在充電時，可以放置在護士站公共區(qū)域，無需專人看管。（×）解析：PDA存儲患者信息，需放置在安全區(qū)域（如帶鎖抽屜）或專人看管，防止丟失。40.醫(yī)院與保險公司合作開展醫(yī)保結算時，可直接提供患者完整病歷，因屬于業(yè)務必要。（×）解析：需對病歷進行脫敏處理（如隱去無關診療細節(jié)），并取得患者同意后提供。四、案例分析題（每題10分，共20分）案例41：2025年3月15日，某醫(yī)院急診科護士張某在交接班時，將記錄有20名患者姓名、診斷結果及聯(lián)系方式的紙質交接班本遺忘在更衣室更衣柜（未上鎖）。次日，清潔人員打掃時發(fā)現(xiàn)該記錄本并上交護士長。經(jīng)核查，記錄本未被他