2025年醫(yī)院信息技術(shù)信息安全保密管理試題及答案一、單項(xiàng)選擇題（共20題，每題2分，共40分）1.根據(jù)《個(gè)人信息保護(hù)法》及醫(yī)療行業(yè)規(guī)范，以下哪類信息不屬于醫(yī)院需重點(diǎn)保護(hù)的“敏感個(gè)人信息”？A.患者基因檢測(cè)報(bào)告B.住院費(fèi)用明細(xì)清單C.精神疾病診斷記錄D.傳染病篩查結(jié)果答案：B2.某醫(yī)院HIS系統(tǒng)（醫(yī)院信息系統(tǒng)）需部署訪問控制機(jī)制，以下符合“最小權(quán)限原則”的配置是？A.護(hù)士賬號(hào)默認(rèn)擁有查看本科室所有患者電子病歷的權(quán)限B.藥劑師賬號(hào)僅開放藥品庫存查詢及調(diào)配權(quán)限，無修改醫(yī)囑權(quán)限C.系統(tǒng)管理員賬號(hào)同時(shí)具備數(shù)據(jù)庫讀寫與日志刪除權(quán)限D(zhuǎn).實(shí)習(xí)生賬號(hào)可訪問近3年所有患者的檢查報(bào)告答案：B3.醫(yī)院移動(dòng)護(hù)理終端（PDA）存儲(chǔ)患者生命體征數(shù)據(jù)時(shí)，應(yīng)優(yōu)先采用的加密方式是？A.對(duì)稱加密算法（如AES-256）B.哈希算法（如SHA-256）C.非對(duì)稱加密算法（如RSA-2048）D.無加密僅靠設(shè)備物理鎖保護(hù)答案：A4.根據(jù)《醫(yī)療質(zhì)量安全管理辦法》及信息安全要求，醫(yī)院電子病歷系統(tǒng)日志至少應(yīng)保留多長時(shí)間？A.6個(gè)月B.1年C.3年D.5年答案：D5.某醫(yī)院擬采購第三方云存儲(chǔ)服務(wù)存儲(chǔ)患者影像數(shù)據(jù)，以下哪項(xiàng)不屬于必須審核的安全資質(zhì)？A.公安部信息系統(tǒng)安全等級(jí)保護(hù)三級(jí)認(rèn)證B.國家密碼管理局商用密碼產(chǎn)品認(rèn)證C.醫(yī)療機(jī)構(gòu)執(zhí)業(yè)許可證D.ISO/IEC27001信息安全管理體系認(rèn)證答案：C6.醫(yī)院信息系統(tǒng)發(fā)生數(shù)據(jù)泄露事件后，向衛(wèi)生健康主管部門報(bào)告的最晚時(shí)限是？A.發(fā)現(xiàn)后1小時(shí)內(nèi)B.發(fā)現(xiàn)后24小時(shí)內(nèi)C.發(fā)現(xiàn)后72小時(shí)內(nèi)D.完成事件調(diào)查后5個(gè)工作日內(nèi)答案：B7.以下哪項(xiàng)不屬于醫(yī)院信息系統(tǒng)物理安全的防護(hù)措施？A.機(jī)房安裝電子門禁系統(tǒng)B.核心服務(wù)器部署冗余電源C.終端設(shè)備安裝防病毒軟件D.機(jī)房配備氣體滅火裝置答案：C8.醫(yī)院開展遠(yuǎn)程醫(yī)療會(huì)診時(shí)，傳輸患者影像數(shù)據(jù)的通信鏈路應(yīng)滿足的最低安全要求是？A.使用SSL/TLS1.2及以上協(xié)議加密B.通過互聯(lián)網(wǎng)明文傳輸?shù)拗艻P訪問C.使用虛擬專用網(wǎng)絡(luò)（VPN）但不加密D.僅在院內(nèi)局域網(wǎng)內(nèi)傳輸答案：A9.某醫(yī)生使用個(gè)人手機(jī)登錄醫(yī)院移動(dòng)查房系統(tǒng)，違反了哪項(xiàng)信息安全管理原則？A.最小權(quán)限原則B.資產(chǎn)專用原則C.責(zé)任分離原則D.數(shù)據(jù)脫敏原則答案：B10.醫(yī)院信息系統(tǒng)權(quán)限審批流程中，最終審批權(quán)應(yīng)歸屬？A.申請(qǐng)部門負(fù)責(zé)人B.信息中心主任C.分管副院長D.系統(tǒng)管理員答案：C11.對(duì)患者姓名、年齡等非敏感信息進(jìn)行脫敏處理時(shí)，最合理的方式是？A.隨機(jī)替換為虛假姓名（如“患者A”）B.保留前1位后脫敏（如“張”）C.全部替換為“”號(hào)D.直接刪除相關(guān)字段答案：B12.醫(yī)院信息系統(tǒng)漏洞掃描周期最短應(yīng)不超過？A.每月1次B.每季度1次C.每半年1次D.每年1次答案：A13.以下哪類人員無需簽訂《信息安全保密協(xié)議》？A.新入職護(hù)士B.外包運(yùn)維工程師C.來院實(shí)習(xí)的醫(yī)學(xué)生D.醫(yī)院保潔人員答案：D14.醫(yī)院災(zāi)備系統(tǒng)的恢復(fù)時(shí)間目標(biāo)（RTO）應(yīng)不超過？A.1小時(shí)B.4小時(shí)C.8小時(shí)D.24小時(shí)答案：B15.醫(yī)療設(shè)備物聯(lián)網(wǎng)（如智能監(jiān)護(hù)儀）接入醫(yī)院內(nèi)網(wǎng)時(shí)，必須實(shí)施的安全措施是？A.開放所有端口以便設(shè)備通信B.分配固定IP地址并劃分獨(dú)立VLANC.允許設(shè)備自動(dòng)獲取DHCP地址D.不設(shè)置訪問控制策略答案：B16.醫(yī)院開展信息安全培訓(xùn)時(shí)，新員工上崗前的最低培訓(xùn)時(shí)長應(yīng)為？A.2學(xué)時(shí)B.4學(xué)時(shí)C.8學(xué)時(shí)D.16學(xué)時(shí)答案：C17.以下哪項(xiàng)不屬于《數(shù)據(jù)安全法》規(guī)定的醫(yī)院數(shù)據(jù)安全義務(wù)？A.建立數(shù)據(jù)分類分級(jí)保護(hù)制度B.定期開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估C.向社會(huì)公開患者數(shù)據(jù)處理規(guī)則D.采取必要技術(shù)措施保障數(shù)據(jù)安全答案：C18.醫(yī)院電子病歷系統(tǒng)用戶密碼的最小長度要求是？A.6位B.8位C.10位D.12位答案：B19.發(fā)生患者信息泄露事件后，醫(yī)院無需向以下哪個(gè)部門報(bào)告？A.衛(wèi)生健康主管部門B.公安機(jī)關(guān)C.市場(chǎng)監(jiān)督管理局D.網(wǎng)絡(luò)安全主管部門答案：C20.醫(yī)院信息系統(tǒng)應(yīng)急預(yù)案的演練周期最短應(yīng)不超過？A.每季度1次B.每半年1次C.每年1次D.每兩年1次答案：B二、多項(xiàng)選擇題（共10題，每題3分，共30分，多選、少選、錯(cuò)選均不得分）1.醫(yī)院醫(yī)療數(shù)據(jù)分類分級(jí)的主要依據(jù)包括？A.數(shù)據(jù)泄露可能造成的社會(huì)影響B(tài).數(shù)據(jù)對(duì)醫(yī)療質(zhì)量的影響程度C.數(shù)據(jù)的產(chǎn)生部門（如門診/住院）D.數(shù)據(jù)涉及的個(gè)人敏感程度答案：ABD2.以下屬于醫(yī)院信息系統(tǒng)訪問控制技術(shù)措施的有？A.基于角色的訪問控制（RBAC）B.雙因素認(rèn)證（2FA）C.網(wǎng)絡(luò)訪問控制（NAC）D.日志審計(jì)答案：ABC3.醫(yī)院終端設(shè)備（如醫(yī)生工作站、護(hù)士站電腦）的安全管理應(yīng)包括？A.安裝終端安全管理軟件B.禁用USB存儲(chǔ)設(shè)備（特殊授權(quán)除外）C.定期更新操作系統(tǒng)補(bǔ)丁D.允許安裝非必要第三方軟件答案：ABC4.醫(yī)院與第三方合作開發(fā)信息系統(tǒng)時(shí)，需在合同中明確的安全條款包括？A.數(shù)據(jù)所有權(quán)歸屬B.第三方人員安全培訓(xùn)要求C.數(shù)據(jù)泄露的違約責(zé)任D.系統(tǒng)交付后的運(yùn)維責(zé)任答案：ABCD5.以下哪些行為違反醫(yī)院信息安全保密規(guī)定？A.醫(yī)生將工作賬號(hào)密碼告知實(shí)習(xí)醫(yī)生臨時(shí)使用B.護(hù)士使用個(gè)人U盤拷貝患者檢驗(yàn)報(bào)告C.工程師在測(cè)試環(huán)境使用生產(chǎn)環(huán)境數(shù)據(jù)D.信息中心定期備份電子病歷數(shù)據(jù)答案：ABC6.醫(yī)院信息系統(tǒng)日志應(yīng)記錄的關(guān)鍵信息包括？A.用戶登錄時(shí)間及IP地址B.數(shù)據(jù)修改操作內(nèi)容C.系統(tǒng)異常報(bào)錯(cuò)信息D.用戶電腦硬件配置答案：ABC7.醫(yī)院移動(dòng)醫(yī)療應(yīng)用（如患者端APP）的安全要求包括？A.采用HTTPS協(xié)議傳輸數(shù)據(jù)B.存儲(chǔ)個(gè)人信息時(shí)進(jìn)行加密C.收集信息遵循“最小必要”原則D.允許自動(dòng)連接任意Wi-Fi網(wǎng)絡(luò)答案：ABC8.以下屬于醫(yī)院信息安全管理組織架構(gòu)組成部分的有？A.信息安全領(lǐng)導(dǎo)小組（院長牽頭）B.信息中心（具體實(shí)施部門）C.內(nèi)部審計(jì)部門（監(jiān)督部門）D.臨床科室信息安全聯(lián)絡(luò)人答案：ABCD9.醫(yī)院開展信息安全風(fēng)險(xiǎn)評(píng)估時(shí)，需評(píng)估的對(duì)象包括？A.信息系統(tǒng)架構(gòu)設(shè)計(jì)B.人員安全意識(shí)C.物理環(huán)境防護(hù)措施D.第三方合作風(fēng)險(xiǎn)答案：ABCD10.患者信息泄露事件的應(yīng)急處置步驟包括？A.立即斷開受影響系統(tǒng)網(wǎng)絡(luò)連接B.追溯泄露源頭并固定證據(jù)C.通知可能受影響的患者D.隱瞞事件避免社會(huì)影響答案：ABC三、判斷題（共15題，每題1分，共15分，正確填“√”，錯(cuò)誤填“×”）1.醫(yī)院可以將患者姓名、聯(lián)系方式提供給醫(yī)藥代表用于學(xué)術(shù)推廣。（）答案：×2.信息系統(tǒng)管理員可以同時(shí)負(fù)責(zé)系統(tǒng)運(yùn)維和日志審計(jì)工作。（）答案：×3.醫(yī)院機(jī)房可以與其他科室共用空調(diào)系統(tǒng)。（）答案：×4.患者在門診大廳公共WiFi下訪問醫(yī)院官網(wǎng)無需加密。（）答案：×5.電子病歷的修改應(yīng)保留原記錄并標(biāo)注修改人及時(shí)間。（）答案：√6.醫(yī)院可以使用默認(rèn)密碼配置醫(yī)療設(shè)備網(wǎng)絡(luò)參數(shù)。（）答案：×7.外包公司工程師維修信息系統(tǒng)時(shí)，無需醫(yī)院人員全程陪同。（）答案：×8.醫(yī)院信息系統(tǒng)可以使用弱口令（如“123456”）用于內(nèi)部測(cè)試。（）答案：×9.患者影像數(shù)據(jù)（如CT、MRI）屬于核心醫(yī)療數(shù)據(jù)，需加密存儲(chǔ)。（）答案：√10.醫(yī)院無需對(duì)離職員工的信息系統(tǒng)賬號(hào)進(jìn)行及時(shí)注銷。（）答案：×11.醫(yī)療設(shè)備物聯(lián)網(wǎng)（IoT）可以直接接入互聯(lián)網(wǎng)。（）答案：×12.醫(yī)院信息安全培訓(xùn)只需覆蓋信息中心人員。（）答案：×13.數(shù)據(jù)脫敏后的信息可以隨意共享。（）答案：×14.醫(yī)院災(zāi)備系統(tǒng)應(yīng)至少每半年進(jìn)行一次恢復(fù)演練。（）答案：√15.患者授權(quán)他人查詢病歷信息時(shí)，只需提供被授權(quán)人身份證復(fù)印件。（）答案：×四、簡(jiǎn)答題（共5題，每題5分，共25分）1.簡(jiǎn)述醫(yī)院醫(yī)療數(shù)據(jù)分類分級(jí)的具體標(biāo)準(zhǔn)及對(duì)應(yīng)級(jí)別。答案：醫(yī)院醫(yī)療數(shù)據(jù)分類分級(jí)應(yīng)基于“敏感性”和“影響程度”雙維度：（1）核心數(shù)據(jù)：泄露或損毀可能導(dǎo)致患者生命安全受到威脅、重大醫(yī)療糾紛或社會(huì)影響（如電子病歷核心診療記錄、基因檢測(cè)結(jié)果、精神疾病診斷信息），需最高級(jí)別保護(hù)（A級(jí)）；（2）重要數(shù)據(jù)：泄露可能導(dǎo)致患者隱私侵害或醫(yī)療秩序影響（如檢查檢驗(yàn)報(bào)告、住院費(fèi)用明細(xì)），需加強(qiáng)保護(hù)（B級(jí)）；（3）一般數(shù)據(jù)：非敏感且影響較?。ㄈ玳T診掛號(hào)信息、普通體檢結(jié)果），需基本保護(hù)（C級(jí)）。2.列舉醫(yī)院信息系統(tǒng)訪問控制的主要技術(shù)措施。答案：主要技術(shù)措施包括：（1）基于角色的訪問控制（RBAC）：根據(jù)崗位職責(zé)分配權(quán)限；（2）雙因素認(rèn)證（2FA）：結(jié)合密碼+動(dòng)態(tài)驗(yàn)證碼/硬件令牌；（3）網(wǎng)絡(luò)訪問控制（NAC）：限制終端設(shè)備接入權(quán)限；（4）會(huì)話超時(shí)機(jī)制：無操作自動(dòng)退出；（5）權(quán)限最小化配置：僅開放必要功能權(quán)限。3.說明醫(yī)院終端設(shè)備（如醫(yī)生工作站電腦）安全管理的關(guān)鍵點(diǎn)。答案：關(guān)鍵點(diǎn)包括：（1）設(shè)備注冊(cè)管理：建立資產(chǎn)臺(tái)賬，記錄設(shè)備責(zé)任人；（2）軟件管控：禁用非必要軟件安裝，定期掃描惡意程序；（3）存儲(chǔ)介質(zhì)管理：限制USB接口使用，重要數(shù)據(jù)禁止本地存儲(chǔ)；（4）補(bǔ)丁管理：及時(shí)更新操作系統(tǒng)及軟件安全補(bǔ)?。唬?）訪問控制：設(shè)置登錄密碼，啟用屏幕保護(hù)鎖定。4.簡(jiǎn)述醫(yī)院信息安全應(yīng)急預(yù)案的主要內(nèi)容。答案：應(yīng)急預(yù)案應(yīng)包括：（1）組織架構(gòu)：明確應(yīng)急指揮組、技術(shù)組、聯(lián)絡(luò)組職責(zé)；（2）事件分級(jí)：根據(jù)影響程度劃分特別重大、重大、較大、一般四級(jí)；（3）處置流程：包含監(jiān)測(cè)預(yù)警、事件報(bào)告、現(xiàn)場(chǎng)控制、數(shù)據(jù)恢復(fù)、損失評(píng)估等步驟；（4）資源保障：儲(chǔ)備備用設(shè)備、應(yīng)急通訊工具、技術(shù)支持聯(lián)系方式；（5）后期整改：事件復(fù)盤、漏洞修復(fù)、培訓(xùn)強(qiáng)化措施。5.闡述醫(yī)院與第三方合作時(shí)需采取的信息安全管理措施。答案：管理措施包括：（1）資質(zhì)審核：核查第三方的信息安全認(rèn)證（如等保三級(jí)、ISO27001）及行業(yè)經(jīng)驗(yàn)；（2）合同約束：明確數(shù)據(jù)所有權(quán)、保密義務(wù)、違約責(zé)任及數(shù)據(jù)返還要求；（3）訪問控制：限制第三方人員僅訪問必要系統(tǒng)，實(shí)施賬號(hào)最小權(quán)限管理；（4）過程監(jiān)督：安排專人全程監(jiān)督數(shù)據(jù)處理過程，定期審計(jì)操作日志；（5）退出管理：合作結(jié)束后收回所有賬號(hào)權(quán)限，清除或安全銷毀殘留數(shù)據(jù)。五、案例分析題（共2題，每題15分，共30分）案例1：2025年3月，某三甲醫(yī)院護(hù)士張某使用個(gè)人手機(jī)登錄醫(yī)院移動(dòng)護(hù)理系統(tǒng)，查看本科室患者電子病歷后未退出賬號(hào)。其手機(jī)因遺失被他人撿到，拾得者通過未退出的系統(tǒng)賬號(hào)訪問了50名患者的診斷記錄及用藥信息。問題：（1）分析事件暴露的安全隱患；（2）列出應(yīng)采取的應(yīng)急處置措施；（3）提出改進(jìn)建議。答案：（1）安全隱患：①違反“設(shè)備專用原則”，使用個(gè)人手機(jī)登錄內(nèi)部系統(tǒng)；②未啟用會(huì)話超時(shí)自動(dòng)退出機(jī)制；③移動(dòng)終端未強(qiáng)制要求雙因素認(rèn)證；④護(hù)士安全意識(shí)不足，未及時(shí)退出賬號(hào)。（2）應(yīng)急處置：①立即凍結(jié)張某賬號(hào)及涉事手機(jī)的系統(tǒng)訪問權(quán)限；②追溯泄露數(shù)據(jù)范圍，確認(rèn)50名患者信息是否被進(jìn)一步傳播；③向衛(wèi)生健康部門、公安機(jī)關(guān)報(bào)告事件；④通過電話/短信通知受影響患者，提示防范信息濫用；⑤啟動(dòng)內(nèi)部調(diào)查，明確張某的管理責(zé)任。（3）改進(jìn)建議：①禁止個(gè)人設(shè)備訪問生產(chǎn)系統(tǒng)，統(tǒng)一配備專用移動(dòng)終端；②移動(dòng)系統(tǒng)強(qiáng)制啟用雙因素認(rèn)證（密碼+動(dòng)態(tài)驗(yàn)證碼）；③設(shè)置會(huì)話超時(shí)（如5分鐘無操作自動(dòng)退出）；④加強(qiáng)全員培訓(xùn)，重點(diǎn)強(qiáng)調(diào)設(shè)備使用規(guī)范；⑤部署移動(dòng)終端管理（MDM）系統(tǒng)，監(jiān)控設(shè)備在線狀態(tài)及操作行為。案例2：某醫(yī)院信息中心工程師李某在維護(hù)HIS系統(tǒng)時(shí)，誤將生產(chǎn)環(huán)境數(shù)據(jù)庫備份文件存儲(chǔ)至未加密的外部硬盤。該硬盤在辦公室被盜，導(dǎo)致2019-2024年住院患者的姓名、身份證號(hào)、聯(lián)系方式等信息泄露。問題：（1）分析事件責(zé)任主體及違規(guī)點(diǎn)；（2）說明需向哪些部門報(bào)告及報(bào)告內(nèi)容；（3）提出數(shù)據(jù)安全管理改進(jìn)措施。答案：（1）責(zé)任主體及違規(guī)點(diǎn)：①工程師李某：違反“數(shù)據(jù)存儲(chǔ)加密”要求，未對(duì)備份數(shù)據(jù)加密；違反“存儲(chǔ)介質(zhì)安全管理”規(guī)定，未將備份存儲(chǔ)于安全場(chǎng)所（如機(jī)房保險(xiǎn)柜）；②信息中心：未制定備份數(shù)據(jù)加密規(guī)范，未監(jiān)督存儲(chǔ)介質(zhì)的安全存放；③醫(yī)院管理層：未落實(shí)數(shù)據(jù)安全管理制度的執(zhí)行監(jiān)督。（2）報(bào)告部門及內(nèi)容：需向衛(wèi)生健康主管部門報(bào)告事