2025年医院信息安全知识试题及答案.docxVIP

2025年医院信息安全知识试题及答案

一、单项选择题（每题2分，共20题，40分）

1.根据《个人信息保护法》及医疗行业规范，以下哪类信息不属于“敏感个人信息”？

A.患者基因检测报告

B.门诊挂号时登记的手机号

C.精神科患者的诊断记录

D.肿瘤患者的放化疗方案

答案：B（解析：敏感个人信息指一旦泄露或滥用可能危害人身和财产安全、侵害人格尊严的信息，包括生物识别、医疗健康、金融账户、行踪轨迹等。手机号属于普通个人信息，但需结合使用场景判断是否敏感）

2.某医院信息系统采用“最小授权原则”分配权限，以下操作符合该原则的是：

A.护士站值班护士申请获取全院患者电子病历查询权限

B.药剂科调剂员仅获得本科室患者的用药记录查看权限

C.信息科实习生因学习需要申请访问核心数据库读写权限

D.门诊收费员申请获取患者检查检验结果导出权限

答案：B（解析：最小授权原则要求根据岗位职责分配必要的最小权限，避免越权访问。药剂科调剂员仅需本科室患者用药信息，符合原则）

3.医院部署终端设备安全管理系统时，以下哪项措施不符合《医疗机构网络安全管理办法》要求？

A.对所有接入内网的移动硬盘启用设备注册和白名单管理

B.允许医生使用个人手机通过VPN访问医院HIS系统

C.在放射科工作站安装终端防病毒软件并定期升级

D.对护士站电脑设置屏幕自动锁定（5分钟无操作）

答案：B（解析：个人移动设备接入医院内网需通过严格的安全评估，通常要求使用医院配发的专用设备或符合安全规范的企业移动设备管理（MDM）方案，禁止直接使用个人手机访问核心系统）

4.某医院拟采购第三方云服务存储患者影像数据，根据《数据安全法》，必须在服务合同中明确的内容不包括：

A.数据存储的物理位置（境内/境外）

B.云服务商的股权结构

C.数据泄露后的责任划分

D.数据删除的具体方式和时限

答案：B（解析：法律要求明确数据处理目的、方式、安全责任、数据归属、删除规则等，股权结构不属于必须约定内容）

5.关于医疗数据脱敏处理，以下描述正确的是：

A.脱敏后的数据可以直接用于学术研究无需伦理审批

B.将患者姓名替换为“患者1”“患者2”属于完全脱敏

C.脱敏技术应保证即使数据泄露也无法还原真实信息

D.门诊电子病历脱敏时可保留疾病诊断名称不处理

答案：C（解析：脱敏的核心是不可逆性，需通过加密、哈希、泛化等技术确保无法还原原始数据。保留诊断名称可能结合其他信息推断患者身份，不属于有效脱敏）

6.医院信息系统发生勒索病毒攻击后，正确的应急处置流程是：

A.立即断网→启动备份恢复→上报主管部门→分析攻击源

B.先尝试支付赎金解密→失败后断网→启动备份恢复

C.保持网络连接→联系网络安全公司远程处理→上报

D.断网隔离→记录攻击日志→评估影响范围→启动备份恢复

答案：D（解析：正确流程为：隔离受感染设备→保留攻击证据（日志）→评估影响→恢复系统→后续分析与上报）

7.以下哪项不属于《医疗质量安全核心制度要点》中对电子病历系统的安全要求？

A.具备操作痕迹追溯功能

B.支持患者本人在线修改病历内容

C.防止电子病历数据篡改

D.对访问和修改行为进行身份验证

答案：B（解析：电子病历的修改需遵循严格的权限和流程，患者本人无权直接修改，需通过医疗机构申请）

8.医院开展AI辅助诊断系统开发时，使用患者影像数据需满足的关键安全条件是：

A.数据使用前需经患者书面授权（或符合伦理豁免条件）

B.AI模型训练完成后即可删除原始数据

C.允许开发团队将数据拷贝至个人电脑进行测试

D.无需标注数据来源，仅使用匿名化处理后的数据

答案：A（解析：涉及患者个人信息的AI训练需符合《个人信息保护法》，获得明确授权或通过伦理审查；匿名化数据仍需管理，原始数据删除需符合规定）

9.某医院信息科在部署新HIS系统时，以下哪项安全措施属于“访问控制”范畴？

A.对数据库进行异地容灾备份

B.为医生账号设置8位以上含字母数字的密码

C.在急诊科设置物理门禁限制无关人员进入机房

D.为护士站终端安装软件白名单限制非授权程序运行

答案：B（解析：访问控制包括身份认证（如密码策略）、权限分配等；容灾属于数据安全，物理门禁属于物理安全，软件白名单属于终端安全）

10.根据《卫生健康行业网络安全等级保护工作指引》，三级等保的医院信息系统应至少多久开展一次安全测评？

A.每半年

B.每年

C.每两年

D.每三年

答案：B（解析：三级等保系统需每年进行一次安全测评，二级系统每两年一次）

11.以下哪种场景可能导致医疗数据泄露风险？

A.医生使用医院内网电脑通过专用接口导出本科室患者检验报告（加密压缩包）

B.护士在公共区域（如医院大厅）使用