2025年医院信息安全意识试题及答案.docxVIP

2025年医院信息安全意识试题及答案

一、单项选择题（每题2分，共40分）

1.某医院护士在值班期间使用个人手机拍摄患者电子病历界面，拟发送给带教老师请教病情。该行为违反了以下哪项信息安全原则？

A.最小授权原则

B.数据最小化原则

C.不可抵赖原则

D.信息保密原则

答案：D

解析：患者病历属于敏感个人信息，未经授权拍摄并传输至私人设备，违反信息保密原则。根据《个人信息保护法》第二十三条，个人信息处理者向其他个人信息处理者提供个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。

2.医院信息科工程师需远程维护HIS系统，正确的操作流程是？

A.使用公共WiFi连接VPN，输入静态密码登录

B.通过医院专用安全接入平台，使用双因素认证（短信验证码+动态令牌）登录

C.直接使用工程师个人账号远程桌面连接服务器

D.将服务器账号密码告知值班护士代为操作

答案：B

解析：远程维护核心系统需采用多因素认证（MFA）确保身份真实性，公共WiFi存在中间人攻击风险，个人账号直接连接或委托他人操作均违反最小权限和职责分离原则。

3.实习医生小张在打印患者检验报告时，误将包含20份患者姓名、身份证号的文档发送至科室公共邮箱。发现错误后，正确的处理方式是？

A.立即删除自己电脑中的文档，假装未发生

B.联系IT部门锁定公共邮箱，撤回邮件（若系统支持），并上报信息安全办公室

C.私信提醒科室同事“勿查看公共邮箱新邮件”

D.重新发送正确文档后，忽略错误邮件

答案：B

解析：发生误发敏感信息事件时，应立即采取控制措施（如撤回、锁定），并按医院《信息安全事件报告制度》上报，以便启动后续调查和补救流程。

4.医院引入的第三方检验设备需接入医院内网，设备供应商工程师提出使用自带笔记本电脑调试。正确的处理方式是？

A.允许接入，因设备调试需要

B.要求工程师使用医院提供的终端，安装防病毒软件并注册设备准入系统

C.由医院工程师将设备接入外网调试，避免影响内网安全

D.口头登记工程师身份后直接接入

答案：B

解析：第三方人员使用自带设备接入内网存在恶意软件植入风险，需通过医院终端准入系统进行安全检查（如病毒扫描、补丁检测），并限制访问权限至仅调试所需网段。

5.下列哪项不属于医院患者个人信息“最小必要”处理原则的应用？

A.护士站仅显示本科室患者的姓名、床位号，隐藏身份证号

B.影像科医生调阅患者CT报告时，系统自动屏蔽其他科室诊疗记录

C.医院官网公示全体医护人员姓名、职称及擅长领域

D.财务科仅收集患者医保卡号用于费用结算，不额外索要家庭住址

答案：C

解析：官网公示医护人员基本信息属于合理信息公开，但患者个人信息的处理需严格遵循最小必要，而医护人员信息不属于患者个人信息范畴，因此C选项不涉及患者信息处理原则。

6.医生李某收到一封标题为“2025年医保政策调整通知（急）”的邮件，附件为“医保新政策.pdf”。正确的处理方式是？

A.直接打开附件，因发件人显示为“市医保局”

B.转发给科室同事共同学习

C.登录市医保局官方网站核实通知真实性，确认无误后通过医院内网专用软件下载附件

D.右键扫描附件无病毒后打开

答案：C

解析：钓鱼邮件常模仿官方机构发送，需通过官方渠道（如官网、官方联系方式）验证信息真实性，避免直接打开未知附件。即使杀毒软件未检测到病毒，也可能存在0day漏洞攻击。

7.医院信息系统登录密码的最佳设置方式是？

A.姓名首字母+生日（如zhangsan1985）

B.包含大小写字母、数字和特殊符号的12位以上组合（如Hosp@2025Safe3）

C.与个人社交账号密码相同（便于记忆）

D.每半年更换一次，新密码与旧密码仅修改最后一位数字

答案：B

解析：符合复杂度要求的密码可有效抵御暴力破解，A选项使用弱密码（生日易被猜测），C选项违反“不同系统不同密码”原则，D选项属于“滚动密码”，仍存在被猜测风险。

8.护士小王在值班结束后未退出电脑登录界面即离开，被保洁人员误触操作导致患者信息被浏览。该事件的主要责任方是？

A.保洁人员（因误触操作）

B.医院（未安装屏幕自动锁定功能）

C.小王（未履行个人终端安全管理责任）

D.IT部门（未限制未登录用户访问权限）

答案：C

解析：员工需对个人使用的终端负责，离开时应主动退出系统或启用屏幕锁定（如设置5分钟无操作自动锁定），未采取防护措施导致的信息泄露由使用者承担主要责任。

9.医院开展信息安全培训后，要求员工签署《信息安全承诺书》。承诺书的核心内容不包括？

A.承诺不泄露工作中获取的患者信息

B.承诺定期更新个人终端