2025年信息系统安全专家医疗健康数据隐私与访问权限控制专题试卷及解析.pdfVIP

2025年信息系统安全专家医疗健康数据隐私与访问权限控制专题试卷及解析1

2025年信息系统安全专家医疗健康数据隐私与访问权限控

制专题试卷及解析

2025年信息系统安全专家医疗健康数据隐私与访问权限控制专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在医疗健康数据隐私保护中，以下哪项原则要求医疗机构在收集患者数据时必

须明确告知数据用途并获得同意？

A、最小化原则

B、目的限制原则

C、准确性原则

D、存储限制原则

【答案】B

【解析】正确答案是B。目的限制原则要求数据收集时必须明确告知用途并获得同

意，这是GDPR和HIPAA等法规的核心要求。A选项最小化原则指仅收集必要数据；

C选项准确性原则要求数据保持准确；D选项存储限制原则要求数据保存期限不超过

必要时间。易错点在于混淆目的限制与最小化原则的区别。

2、在访问权限控制模型中，以下哪种模型最适合医疗机构的动态权限分配需求？

A、自主访问控制（DAC）

B、强制访问控制（MAC）

C、基于角色的访问控制（RBAC）

D、基于属性的访问控制（ABAC）

【答案】D

【解析】正确答案是D。ABAC能根据用户属性、资源属性和环境条件动态决策，最

适合医疗场景的复杂权限需求。RBAC（C）虽常用但灵活性不足；DAC（A）权限过于

分散；MAC（B）过于严格。知识点是访问控制模型的适用场景，易错点在于忽视医疗

场景的动态性需求。

3、根据HIPAA规定，以下哪类信息不属于受保护健康信息（PHI）？

A、患者姓名

B、病历编号

C、医疗机构名称

D、生物识别数据

【答案】C

【解析】正确答案是C。PHI指可识别个人的健康信息，医疗机构名称不属于患者

个人信息。A、B、D均为HIPAA明确定义的PHI。知识点是PHI的范围界定，易错

点在于混淆机构信息与个人信息的区别。

2025年信息系统安全专家医疗健康数据隐私与访问权限控制专题试卷及解析2

4、在医疗数据脱敏技术中，以下哪种方法能最好地保留数据统计特征？

A、抑制

B、泛化

C、随机化

D、屏蔽

【答案】B

【解析】正确答案是B。泛化通过数据层级替换保留统计特性，适合医疗数据分析

需求。抑制（A）直接删除数据会损失信息；随机化（C）可能破坏数据分布；屏蔽（D）

仅适用于简单场景。知识点是脱敏技术的选择依据，易错点在于忽视数据可用性需求。

5、医疗机构的审计日志应至少保存多长时间以满足合规要求？

A、6个月

B、1年

C、3年

D、5年

【答案】A

【解析】正确答案是A。根据多数地区医疗法规，审计日志至少保存6个月。B、C、

D选项超过最低要求但非强制。知识点是合规性存储期限，易错点在于混淆不同地区的

要求差异。

6、在医疗数据跨境传输中，以下哪种机制最符合GDPR要求？

A、标准合同条款（SCC）

B、企业约束规则（BCR）

C、充分性认定

D、所有选项均可

【答案】D

【解析】正确答案是D。GDPR认可多种合法传输机制，包括SCC、BCR和充分

性认定。A、B、C均为合法方式。知识点是GDPR跨境传输机制，易错点在于忽视机

制选择的灵活性。

7、医疗物联网设备的安全风险主要来源于？

A、固件漏洞

B、弱口令

C、明文传输

D、所有选项

【答案】D

【解析】正确答案是D。医疗IoT设备面临多重风险，包括固件漏洞、弱口令和明

文传输等。A、B、C均为常见风险源。知识点是IoT安全威胁分类，易错点在于低估

2025年信息系统安全专家医疗健康数据隐私与访问权限控制专题试卷及解析3

风险的复合性。

8、以下哪种加密算法最适合医疗数据长期存储？

A、AES256

B、RSA20