2025年信息系统安全专家医疗健康信息安全管理规范专题试卷及解析.pdfVIP

2025年信息系统安全专家医疗健康信息安全管理规范专题试卷及解析1

2025年信息系统安全专家医疗健康信息安全管理规范专题

试卷及解析

2025年信息系统安全专家医疗健康信息安全管理规范专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、根据《医疗健康信息安全管理规范》，医疗机构对电子病历的访问控制应遵循的

最小权限原则是指？

A、所有医护人员均可访问全部患者病历

B、根据岗位职责授予最小必要访问权限

C、仅允许主治医生访问患者病历

D、患者可自行修改电子病历内容

【答案】B

【解析】正确答案是B。最小权限原则是信息安全的基本原则，要求仅授予用户完

成其工作所需的最小权限。A选项违反了最小权限原则，C选项过于绝对化，D选项涉

及患者权限而非医护人员权限。知识点：访问控制原则。易错点：容易混淆最小权限原

则与职责分离原则。

2、医疗健康信息系统中，以下哪项属于物理安全防护措施？

A、数据加密传输

B、防火墙配置

C、机房门禁系统

D、用户密码复杂度要求

【答案】C

【解析】正确答案是C。物理安全指对信息系统硬件设备的物理防护，机房门禁属

于典型物理安全措施。A、B、D均属于技术安全措施。知识点：物理安全防护体系。易

错点：容易将技术安全措施与物理安全措施混淆。

3、根据HIPAA规定，以下哪类信息不属于受保护健康信息(PHI)？

A、患者姓名和病历号

B、医疗诊断结果

C、医院财务报表

D、治疗方案记录

【答案】C

【解析】正确答案是C。PHI指可识别个人的健康信息，财务报表不包含个人健康

信息。A、B、D均属于典型PHI。知识点：PHI定义范围。易错点：容易将医院业务

数据与PHI混淆。

4、医疗健康信息系统的灾难恢复计划中，RTO(恢复时间目标)是指？

2025年信息系统安全专家医疗健康信息安全管理规范专题试卷及解析2

A、数据备份频率

B、系统恢复可接受的最长时间

C、数据丢失可接受的最大时长

D、系统正常运行时间

【答案】B

【解析】正确答案是B。RTO指系统或服务必须恢复的时间上限。A是备份策略，

C是RPO(恢复点目标)，D是可用性指标。知识点：灾难恢复关键指标。易错点：容易

混淆RTO与RPO概念。

5、在医疗健康信息安全管理中，DLP(数据防泄漏)系统主要用于防范？

A、病毒攻击

B、敏感数据外泄

C、系统漏洞利用

D、网络拒绝服务

【答案】B

【解析】正确答案是B。DLP专门用于监控和防止敏感数据泄露。A、C、D属于其

他安全领域。知识点：数据防泄漏技术。易错点：容易将DLP与防火墙等网络安全设

备功能混淆。

6、根据《网络安全法》，医疗健康信息系统安全等级保护应至少达到？

A、第一级

B、第二级

C、第三级

D、第四级

【答案】C

【解析】正确答案是C。医疗健康信息系统属于重要信息系统，最低要求为第三级。

A、B级别过低，D为最高级别。知识点：等保2.0标准。易错点：容易忽视医疗行业

的特殊保护要求。

7、医疗健康信息系统中，以下哪项属于身份认证中的多因素认证？

A、用户名+密码

B、密码+短信验证码

C、两次密码输入

D、密码+密码提示问题

【答案】B

【解析】正确答案是B。多因素认证需至少两种不同类型的认证因子，密码(知识因

子)+短信(持有因子)符合要求。A、C、D均为单因素认证。知识点：身份认证技术。

易错点：容易将多个相同类型认证视为多因素认证。

2025年信息系统安全专家医疗健康信息安全管理规范专题试卷及解析3

8、医疗健康信息安全管理中，风险评估的频率通常要求？

A、每月一次

B、每季度一次