2025年医院信息安全考核试题及答案.docxVIP

2025年医院信息安全考核试题及答案

一、单项选择题（每题2分，共20题，合计40分）

1.根据《个人信息保护法》及医疗行业要求，医院在收集患者个人信息时应遵循的核心原则是：

A.全面收集原则

B.最小必要原则

C.自主选择原则

D.公开透明原则

答案：B

2.某医院信息系统存储的患者电子病历属于哪类数据？

A.公共数据

B.一般业务数据

C.敏感数据

D.无关数据

答案：C

3.医院HIS系统（医院信息系统）管理员的账号权限设置应遵循：

A.最高权限原则

B.最小权限原则

C.分级授权原则

D.动态调整原则

答案：B

4.医院信息系统日志应至少保留多长时间？

A.3个月

B.6个月

C.12个月

D.24个月

答案：B（依据《网络安全法》第二十一条，重要系统日志保留不少于6个月）

5.医院通过互联网提供远程诊疗服务时，传输患者病历数据应采用的加密算法是：

A.MD5

B.SHA-1

C.SM4（国密算法）

D.DES

答案：C（医疗敏感数据传输需符合国家密码管理要求，优先使用国密算法）

6.医院终端设备（如医生工作站电脑）接入内网前必须完成的安全操作是：

A.安装非正版杀毒软件

B.关闭防火墙

C.进行安全检测（病毒扫描、补丁检查）

D.卸载所有安全防护软件

答案：C

7.医院信息安全应急预案的演练频率应至少为：

A.每季度1次

B.每半年1次

C.每年1次

D.每两年1次

答案：B（国家卫生健康委《医院信息安全管理规范》要求至少每半年演练1次）

8.发现信息系统高危漏洞后，应在多长时间内完成修复？

A.24小时

B.48小时

C.72小时

D.1周

答案：B（依据《关键信息基础设施安全保护条例》，高危漏洞修复时限不超过48小时）

9.医院委托第三方公司进行信息系统运维时，需签订的核心协议是：

A.服务合同

B.保密协议

C.设备采购协议

D.技术培训协议

答案：B（必须明确第三方的安全责任和数据保护义务）

10.某医生因工作需要调阅非本科室患者电子病历，需经过的审批流程是：

A.直接登录系统查看

B.经本科室主任口头同意

C.通过信息系统提交申请并经分管院长审批

D.联系系统管理员临时授权

答案：C（需遵循“最小访问权限”和“审批留痕”原则）

11.医院影像归档和通信系统（PACS）存储的医学影像数据，其访问控制应采用：

A.基于角色的访问控制（RBAC）

B.基于属性的访问控制（ABAC）

C.自主访问控制（DAC）

D.强制访问控制（MAC）

答案：A（医疗场景中RBAC更符合科室、职位的权限划分需求）

12.医院移动护理终端（如PAD）使用完毕后，正确的安全操作是：

A.直接关闭屏幕

B.设置自动锁屏（5分钟内）

C.卸载所有应用程序

D.格式化存储设备

答案：B（防止设备丢失后数据泄露）

13.医院信息安全事件分级中，“导致500例以上患者个人信息泄露”属于：

A.一级事件（特别重大）

B.二级事件（重大）

C.三级事件（较大）

D.四级事件（一般）

答案：B（依据《卫生行业信息安全事件分级指南》，500例以上属重大事件）

14.医院开展信息安全培训时，新入职医护人员的培训时长应不少于：

A.1学时

B.2学时

C.4学时

D.8学时

答案：C（《医院信息安全管理规范》要求新员工培训不少于4学时）

15.医院网站发布患者就诊统计数据时，正确的处理方式是：

A.直接发布原始数据

B.对姓名、身份证号等标识信息进行脱敏处理

C.仅删除姓名，保留其他信息

D.模糊处理年龄、性别等非敏感信息

答案：B（需符合“去标识化”要求，避免信息可复原）

16.医院信息系统发生数据篡改事件后，首要的应急措施是：

A.通知媒体

B.恢复最近一次有效备份

C.追究操作人员责任

D.关闭所有信息系统

答案：B（优先恢复业务连续性，防止损失扩大）

17.医院使用的电子签名系统，其密钥管理应遵循的原则是：

A.密钥由系统管理员统一保管

B.密钥由使用者个人保管（如UKey）

C.密钥存储在公共服务器

D.密钥定期公开更新

答案：B（确保签名不可抵赖，密钥需由本人持有）

18.医院与外部科研机构合作开展临床研究时，提供患者数据的前提是：

A.患者已签署知情同意书

B.科研机构承诺保密

C.数据量不超过100例

D.合作项目通过伦理审查

答案：A（需同时满足伦理审查和患者知情同意）

19.医院信息安全岗位人员离岗时，必须完成的操作是：

A.归还工作设备

B.修改个人账号密码

C.提交离职报告

D.参与离职面谈

答案：A（同时需删除或禁用其系统访问权限，归还设备属