患者信息安全管理制度試題及答案一、單項選擇題（每題2分，共20分）1.根據(jù)《個人信息保護(hù)法》及醫(yī)療行業(yè)相關(guān)規(guī)定，患者信息的“最小必要原則”是指：A.僅收集與診療直接相關(guān)的最少信息B.收集所有可能涉及患者健康的信息C.由主治醫(yī)生決定收集范圍D.按醫(yī)院信息系統(tǒng)默認(rèn)設(shè)置收集2.醫(yī)療機(jī)構(gòu)患者信息安全管理的第一責(zé)任人是：A.信息科科長B.分管副院長C.醫(yī)院法定代表人或主要負(fù)責(zé)人D.護(hù)理部主任3.以下哪項不屬于患者信息“去標(biāo)識化”的技術(shù)要求？A.移除患者姓名、身份證號等直接標(biāo)識符B.保留疾病診斷、治療時間等診療信息C.無法通過剩余信息單獨或結(jié)合其他信息識別患者身份D.確保剩余信息與患者本人建立直接關(guān)聯(lián)4.醫(yī)療機(jī)構(gòu)內(nèi)部人員訪問患者電子病歷的權(quán)限應(yīng)遵循：A.崗位需要原則，按職責(zé)分配最小必要權(quán)限B.所有醫(yī)務(wù)人員均有權(quán)限訪問全部患者信息C.由信息科統(tǒng)一開放最高權(quán)限D(zhuǎn).科主任可隨意分配本科室人員訪問權(quán)限5.發(fā)生患者信息泄露事件后，醫(yī)療機(jī)構(gòu)應(yīng)在多長時間內(nèi)向衛(wèi)生健康主管部門報告？A.立即（1小時內(nèi)）B.24小時內(nèi)C.48小時內(nèi)D.72小時內(nèi)6.患者信息存儲介質(zhì)（如移動硬盤、U盤）報廢時，應(yīng)采取的安全措施是：A.直接丟棄B.格式化后轉(zhuǎn)贈其他部門C.進(jìn)行數(shù)據(jù)徹底擦除或物理銷毀D.由信息科統(tǒng)一保管備查7.以下哪項屬于患者信息安全“技術(shù)防護(hù)措施”？A.定期開展信息安全培訓(xùn)B.部署訪問控制和審計系統(tǒng)C.制定《患者信息安全管理制度》D.設(shè)立信息安全管理委員會8.患者申請查閱自身病歷信息時，醫(yī)療機(jī)構(gòu)應(yīng)：A.以“系統(tǒng)故障”為由拒絕B.要求患者提供書面申請并核實身份后提供C.僅允許患者查看檢查報告，不提供診斷記錄D.收取高額查閱費用9.醫(yī)療機(jī)構(gòu)與第三方合作開展健康數(shù)據(jù)分析時，必須：A.直接提供原始患者信息B.簽訂數(shù)據(jù)安全協(xié)議并確保數(shù)據(jù)去標(biāo)識化C.由第三方自行承擔(dān)信息泄露責(zé)任D.不限制第三方對數(shù)據(jù)的使用范圍10.患者信息安全事件應(yīng)急演練的頻率應(yīng)至少為：A.每季度一次B.每半年一次C.每年一次D.每兩年一次二、填空題（每題2分，共20分）1.患者信息是指醫(yī)療機(jī)構(gòu)在診療活動中收集的與患者個人相關(guān)的信息，包括但不限于姓名、性別、身份證號、______、______、檢查檢驗結(jié)果、診斷結(jié)論等。2.患者信息安全管理應(yīng)遵循“______、______、全程可控、責(zé)任可追溯”的基本原則。3.醫(yī)療機(jī)構(gòu)應(yīng)建立患者信息訪問日志，記錄訪問時間、訪問人員、______、______等關(guān)鍵信息，日志保存期限不少于______年。4.發(fā)生患者信息泄露后，除向主管部門報告外，還應(yīng)及時通知受影響患者，通知內(nèi)容包括泄露的信息類型、可能造成的影響、______及______。5.患者信息加密應(yīng)采用符合國家密碼管理規(guī)定的______，存儲和傳輸過程中敏感信息（如身份證號、聯(lián)系方式）應(yīng)進(jìn)行______處理。三、判斷題（每題2分，共20分。正確填“√”，錯誤填“×”）1.實習(xí)醫(yī)生因?qū)W習(xí)需要，可使用帶教老師賬號訪問患者信息。（）2.患者信息匿名化后，醫(yī)療機(jī)構(gòu)可無需患者同意用于科研用途。（）3.醫(yī)療機(jī)構(gòu)信息系統(tǒng)的管理員可隨意查看所有患者信息。（）4.患者信息紙質(zhì)檔案只需存放在帶鎖的文件柜中，無需額外安全措施。（）5.發(fā)現(xiàn)員工違規(guī)查詢患者信息時，應(yīng)立即停用其賬號并開展調(diào)查。（）6.為提高工作效率，護(hù)士站可將登錄密碼共享給本科室所有護(hù)士使用。（）7.患者信息泄露事件的責(zé)任認(rèn)定應(yīng)包括直接責(zé)任人、主管領(lǐng)導(dǎo)及機(jī)構(gòu)責(zé)任。（）8.醫(yī)療機(jī)構(gòu)無需對第三方合作方的信息安全能力進(jìn)行評估。（）9.患者信息安全培訓(xùn)應(yīng)覆蓋所有接觸患者信息的人員，包括保潔、后勤等臨時人員。（）10.電子病歷系統(tǒng)應(yīng)具備操作痕跡留存功能，確保任何修改可追溯。（）四、簡答題（每題8分，共24分）1.簡述醫(yī)療機(jī)構(gòu)患者信息安全管理的主要職責(zé)分工。2.列舉至少5項患者信息訪問控制的具體措施。3.說明患者信息泄露事件的應(yīng)急處置流程。五、案例分析題（16分）某三級醫(yī)院護(hù)士張某因個人原因，在非工作時間使用自己的賬號登錄醫(yī)院電子病歷系統(tǒng)，查詢了10名非本科室患者的病歷信息（包括姓名、診斷結(jié)果、用藥記錄），未進(jìn)行任何診療操作。次日，醫(yī)院信息安全審計系統(tǒng)發(fā)現(xiàn)異常訪問記錄并報警。問題：（1）張某的行為違反了哪些患者信息安全管理規(guī)定？（2）醫(yī)院應(yīng)如何處理此事件？（3）為避免類似事件再次發(fā)生，醫(yī)院可采取哪些改進(jìn)措施？患者信息安全管理制度試題答案一、單項選擇題1.A（解析：最小必要原則要求僅收集與診療直接相關(guān)的最少信息，避免過度收集。）2.C（解析：根據(jù)《數(shù)據(jù)安全法》，單位主要負(fù)責(zé)人是信息安全第一責(zé)任人。）3.D（解析：去標(biāo)識化要求無法通過剩余信息識別患者，D項描述相反。）4.A（解析：權(quán)限分配需遵循崗位需要，避免權(quán)限過大。）5.B（解析：《醫(yī)療質(zhì)量安全事件報告暫行規(guī)定》要求24小時內(nèi)報告。）6.C（解析：報廢存儲介質(zhì)需徹底清除數(shù)據(jù)，防止信息泄露。）7.B（解析：技術(shù)防護(hù)包括訪問控制、審計等系統(tǒng)部署。）8.B（解析：患者有權(quán)查閱病歷，需核實身份后提供。）9.B（解析：與第三方合作需簽訂協(xié)議并去標(biāo)識化，避免原始信息泄露。）10.C（解析：《醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全管理規(guī)定》要求每年至少一次演練。）二、填空題1.聯(lián)系方式、病歷號（或“住址”“就診記錄”等合理答案）2.合法合規(guī)、最小必要3.訪問內(nèi)容、操作類型；54.已采取的補(bǔ)救措施、后續(xù)防范建議5.加密算法；脫敏三、判斷題1.×（解析：禁止賬號共享，實習(xí)醫(yī)生需使用獨立賬號并經(jīng)授權(quán)。）2.√（解析：匿名化數(shù)據(jù)無法識別患者，無需單獨同意。）3.×（解析：管理員需遵循最小權(quán)限原則，不得隨意查看。）4.×（解析：紙質(zhì)檔案需物理防護(hù)（如監(jiān)控、雙人管理）+訪問登記。）5.√（解析：發(fā)現(xiàn)違規(guī)應(yīng)立即停用賬號，防止進(jìn)一步泄露。）6.×（解析：密碼共享違反訪問控制要求，需一人一密。）7.√（解析：責(zé)任需分級認(rèn)定，包括直接、管理及機(jī)構(gòu)責(zé)任。）8.×（解析：需對第三方進(jìn)行安全評估并簽訂協(xié)議。）9.√（解析：所有接觸患者信息的人員均需培訓(xùn)。）10.√（解析：電子病歷修改需留痕，確?？勺匪?。）四、簡答題1.主要職責(zé)分工包括：（1）醫(yī)院主要負(fù)責(zé)人：統(tǒng)籌信息安全管理，審批制度與應(yīng)急預(yù)案。（2）信息安全管理委員會：制定政策、監(jiān)督執(zhí)行、協(xié)調(diào)資源。（3）信息科：負(fù)責(zé)技術(shù)防護(hù)（如系統(tǒng)加密、訪問控制）、日志管理與安全監(jiān)測。（4）臨床/職能部門負(fù)責(zé)人：落實本科室人員權(quán)限管理，監(jiān)督合規(guī)操作。（5）全體員工：遵守制度，保護(hù)患者信息，報告安全隱患。2.患者信息訪問控制措施包括：（1）一人一賬號，禁止共享或借用賬號。（2）根據(jù)崗位需求分配最小必要權(quán)限（如護(hù)士僅訪問本科室患者信息）。（3）設(shè)置登錄密碼復(fù)雜度要求（如8位以上，包含字母、數(shù)字、符號）。（4）啟用多因素認(rèn)證（如密碼+動態(tài)驗證碼）。（5）限制非工作時間訪問，或需額外審批。（6）定期核查賬號權(quán)限，及時停用離職/調(diào)崗人員賬號。3.泄露事件應(yīng)急處置流程：（1）立即阻斷：停用涉事賬號/系統(tǒng)功能，防止信息進(jìn)一步泄露。（2）評估影響：確認(rèn)泄露信息類型（如敏感程度、涉及患者數(shù)量）、泄露途徑（如內(nèi)部違規(guī)、系統(tǒng)漏洞）。（3）報告與通知：24小時內(nèi)向衛(wèi)生健康主管部門報告；72小時內(nèi)通知受影響患者（如電話、短信），說明泄露內(nèi)容及補(bǔ)救措施。（4）調(diào)查追責(zé)：查明責(zé)任人員（直接操作人、管理責(zé)任人），形成調(diào)查報告。（5）整改措施：修復(fù)系統(tǒng)漏洞、加強(qiáng)權(quán)限管理、開展全員培訓(xùn)。（6）記錄歸檔：保存事件處置記錄（含報告、通知、調(diào)查結(jié)果）至少5年。五、案例分析題（1）違反規(guī)定：①非工作時間非必要訪問患者信息，違反“最小必要”和“崗位需要”原則；②查詢非本科室患者信息，超出權(quán)限范圍；③未進(jìn)行診療操作，屬于違規(guī)查詢；④違反《患者信息訪問日志管理規(guī)定》中的“合理使用”要求。（2）處理措施：①立即停用張某賬號，凍結(jié)其系統(tǒng)訪問權(quán)限；②信息科調(diào)取完整訪問日志，核實查詢時間、內(nèi)容及操作痕跡；③由醫(yī)院監(jiān)察部門開展調(diào)查，確認(rèn)張某行為動機(jī)（如個人原因、利益交換）；④依據(jù)《醫(yī)院員工違規(guī)處理辦法》，對張某進(jìn)行處罰（如警告、扣除績效、暫停執(zhí)業(yè)）；⑤向受影響患者發(fā)送書面通知，說明泄露信息內(nèi)容及醫(yī)院已采取的補(bǔ)救措施（如加強(qiáng)系統(tǒng)監(jiān)控）；⑥將事件報告至衛(wèi)生健康主管部門，備案處理結(jié)果。（3）改進(jìn)措施：①優(yōu)化權(quán)限管理：根據(jù)科室、崗位細(xì)化權(quán)限（如護(hù)士僅能訪問本科