2025年医院信息安全试题及答案.docxVIP

2025年医院信息安全试题及答案

一、单项选择题（每题2分，共20题，40分）

1.依据《信息安全技术健康医疗数据安全指南》（GB/T42577-2023），以下哪类医疗数据属于“最高级别”敏感信息？

A.患者姓名+就诊科室

B.电子病历中的诊断结论+用药记录

C.医院设备采购清单

D.公共区域监控视频（无患者面部）

答案：B

2.某三甲医院核心业务系统（HIS）因网络攻击导致瘫痪，根据《关键信息基础设施安全保护条例》，该医院应在事件发生后多久内向省级网信部门报告？

A.1小时

B.2小时

C.6小时

D.12小时

答案：B

3.医院部署的终端安全管理系统需对所有接入内网的设备进行身份认证，以下哪种认证方式符合“最小权限原则”？

A.所有设备使用统一静态密码

B.医护人员工号+动态令牌（OTP）

C.设备MAC地址白名单+固定IP绑定

D.仅允许Windows系统设备接入

答案：B

4.某医院拟将患者影像数据（DICOM格式）通过云服务平台存储，根据《个人信息保护法》及《数据安全法》，需优先完成的合规步骤是？

A.与云服务商签订保密协议

B.开展数据安全影响评估（DSIA）

C.在医院官网公示数据存储地点

D.对患者进行书面授权确认

答案：B

5.以下哪种场景符合“医疗数据脱敏”的技术要求？

A.将患者身份证号后6位替换为“”

B.删除电子病历中的“过敏药物”字段

C.对患者手机号进行哈希处理（不可逆）

D.将住院号随机打乱顺序

答案：C

6.医院信息系统日志应至少保留多长时间？依据的主要法规是？

A.3个月，《网络安全法》

B.6个月，《个人信息保护法》

C.1年，《医疗质量安全管理办法》

D.6个月，《关键信息基础设施安全保护条例》

答案：D（条例第二十一条规定关键信息基础设施运营者应当留存相关网络日志不少于6个月）

7.某医院移动护理APP需调用患者定位信息（用于护理打卡），根据《个人信息保护法》“最小必要”原则，以下处理方式正确的是？

A.每次打开APP时获取实时定位

B.仅在用户触发打卡操作时获取定位

C.后台持续获取定位并上传

D.获取定位后存储3年用于护理记录追溯

答案：B

8.医院网络安全等级保护定级中，承载500张以上床位的医院核心业务系统应定为几级？

A.一级

B.二级

C.三级

D.四级

答案：C（根据《信息安全等级保护管理办法》，涉及公民、法人和其他组织的重要权益，或可能造成严重社会影响的系统应定为三级）

9.以下哪项不属于医院信息系统“访问控制”的核心措施？

A.基于角色的访问控制（RBAC）

B.会话超时自动退出

C.数据库审计日志记录

D.账号密码复杂度要求

答案：C（审计属于监测措施，非访问控制）

10.某医院因员工误操作导致500份患者检验报告泄露至互联网，根据《医疗质量安全事件报告暂行规定》，应在多长时间内完成内部报告？

A.1小时

B.6小时

C.12小时

D.24小时

答案：D（规定要求一般医疗质量安全事件应24小时内报告）

11.医院使用AI辅助诊断系统处理患者影像数据时，以下哪项是必须满足的安全要求？

A.AI模型训练数据需包含患者真实姓名

B.模型输出结果需与原始影像数据绑定存储

C.对AI处理过程进行可解释性记录

D.允许模型自动修改电子病历诊断结论

答案：C（《生成式人工智能服务管理暂行办法》要求AI处理医疗数据需具备可解释性）

12.医院与第三方检验机构进行数据接口对接时，最关键的安全措施是？

A.签订数据共享协议

B.对接口传输数据进行加密（如TLS1.3）

C.限制每日数据传输量

D.要求第三方提供ISO27001认证

答案：B（传输安全是接口对接的核心防护点）

13.以下哪种行为违反《卫生行业信息安全等级保护工作的指导意见》中“三员分立”要求？

A.信息科科长同时担任系统管理员和安全审计员

B.护士使用工号登录HIS系统进行医嘱录入

C.网络管理员定期检查防火墙策略

D.安全管理员每月审核访问日志

答案：A（三员指系统管理员、安全管理员、安全审计员，需分离）

14.医院物联网设备（如智能输液泵）接入内网时，应优先采用的安全策略是？

A.与办公终端共用同一VLAN

B.单独划分物联网专用VLAN并限制横向访问

C