2025年医院信息安全考试题及答案.docxVIP

2025年医院信息安全考试题及答案

一、单项选择题（每题2分，共20题，40分）

1.根据《个人信息保护法》及医疗行业特殊要求，以下哪类信息不属于“敏感个人信息”？

A.患者基因检测报告

B.住院费用明细

C.精神疾病诊断记录

D.传染病筛查结果

答案：B

2.某三甲医院拟对电子病历系统进行等级保护备案，按照《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），其应申请的保护等级是？

A.一级（用户自主保护级）

B.二级（系统审计保护级）

C.三级（安全标记保护级）

D.四级（结构化保护级）

答案：C

3.医院HIS系统访问控制应遵循的核心原则是？

A.最小权限原则

B.角色全覆盖原则

C.管理员优先原则

D.终端设备绑定原则

答案：A

4.为防止医疗影像（DICOM）数据在传输过程中被篡改，最有效的技术措施是？

A.部署入侵检测系统（IDS）

B.使用SHA-256哈希算法生成校验值

C.采用AES-256对称加密

D.限制传输端口为8080

答案：B

5.根据《医疗机构网络安全管理办法》，医院重要信息系统日志留存时间不得少于？

A.3个月

B.6个月

C.12个月

D.24个月

答案：B

6.某医院放射科移动DR设备接入医院内网时，需重点防范的安全风险是？

A.设备物理损坏

B.无线信号干扰

C.设备固件被恶意篡改

D.医护人员操作失误

答案：C

7.以下哪种场景符合“零信任架构”的核心要求？

A.护士站终端通过固定IP访问电子病历系统

B.医生使用手机VPN登录时需验证设备指纹+动态密码

C.药剂科服务器仅开放给内网IP访问

D.行政部门电脑与临床系统共用同一交换机

答案：B

8.医院第三方运维人员需远程维护PACS系统时，正确的安全流程是？

A.直接提供系统管理员账号

B.开通临时账号并记录操作日志

C.由医院工程师全程代操作

D.使用运维人员自带的远程工具

答案：B

9.某医院发现检验系统存在SQL注入漏洞，应优先采取的措施是？

A.立即关闭检验系统

B.部署Web应用防火墙（WAF）

C.更新数据库管理员密码

D.对漏洞进行代码修复

答案：D

10.根据《医疗数据分类分级指南（试行）》，以下哪类数据属于“核心医疗数据”？

A.医院年度财务报表

B.门诊量统计数据

C.患者手术麻醉记录

D.医护人员考勤记录

答案：C

11.为防止患者个人信息被非法爬取，医院官网应重点加强哪项防护？

A.网站访问速率限制

B.搜索引擎优化（SEO）

C.网站内容加密存储

D.网页防篡改技术

答案：A

12.移动护理终端（PDA）的安全管理中，最关键的措施是？

A.定期清洁设备屏幕

B.绑定护士个人工号

C.启用设备丢失锁定功能

D.安装医疗专用APP

答案：C

13.医院电子病历系统进行数据备份时，应遵循的“3-2-1原则”是指？

A.3种介质、2个副本、1个异地

B.3个副本、2种介质、1个异地

C.3个异地、2种介质、1个本地

D.3种技术、2个团队、1个流程

答案：B

14.以下哪种行为符合医疗信息系统安全操作规范？

A.医生将工号密码告知实习护士临时使用

B.护士站电脑设置30分钟无操作自动锁屏

C.工程师将测试环境账号用于生产系统

D.药剂师将药品库存数据导出至个人U盘

答案：B

15.某医院收到“患者检查报告异常需点击链接查看”的钓鱼邮件，识别此类攻击的关键特征是？

A.邮件发送时间为非工作时间

B.链接域名与医院官网存在细微差异

C.邮件正文使用专业医学术语

D.附件为PDF格式文件

答案：B

16.医疗物联网设备（如智能输液泵）的安全威胁中，最可能导致直接医疗事故的是？

A.设备固件版本过旧

B.设备与互联网直接连接

C.控制指令被篡改

D.设备电池续航不足

答案：C

17.根据《关键信息基础设施安全保护条例》，医院需对关键信息基础设施进行认定，以下不属于认定范围的是？

A.核心业务系统（如HIS、EMR）

B.支撑业务连续运行的网络（如万兆主干网）

C.行政办公用OA系统

D.医疗设备物联管理平台

答案：C

18.医院开展网络安全培训时，针对医护人员的重点内容应是？

A.防火墙配置技术

B.个人信息保护意识

C.漏洞扫描工具使用

D.数据库容灾方案

答案：B

19.某医院进行网络安全应急演练后，发现故障恢复时间（RTO）超过规定的2小时，改进措施应优先考虑？

A.增加备份数据量

B.优化备份恢复流程

C.更换更高速的存储设备

D.扩大应急团队规模

答案：B

20.医疗数据跨境传输时，需满足的合规要求不包括