2025年医院信息安全管理试题及答案.docxVIP

2025年医院信息安全管理试题及答案

一、单项选择题（每题2分，共30分）

1.根据《关键信息基础设施安全保护条例》，下列哪类医院信息系统属于关键信息基础设施？

A.门诊叫号系统

B.医院官网预约平台

C.电子病历系统（含患者诊疗核心数据）

D.后勤物资管理系统

答案：C

解析：关键信息基础设施需满足“一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、国计民生、公共利益”的标准。电子病历系统直接关联患者生命健康与医疗秩序稳定，符合关键信息基础设施定义。

2.某医院信息科新入职员工小张需访问HIS系统（医院信息系统），根据“最小权限原则”，正确的权限分配是：

A.授予其所在科室所有HIS功能模块的只读权限

B.仅开放其岗位职责必需的患者基本信息查询权限

C.授予与同岗位老员工完全一致的操作权限

D.授予系统管理员临时权限以便熟悉业务

答案：B

解析：最小权限原则要求用户仅获得完成工作所需的最小权限集合，避免过度授权导致的安全风险。岗位职责必需的患者基本信息查询权限符合该原则。

3.医院对患者影像数据（如CT、MRI）进行脱敏处理时，下列哪项信息无需删除？

A.患者姓名、身份证号

B.影像拍摄时间、检查科室

C.患者联系方式、住址

D.影像中包含的面部特征（可识别患者身份）

答案：B

解析：脱敏需去除直接或间接识别个人身份的信息。影像拍摄时间、检查科室属于诊疗过程记录，不直接关联患者身份，无需删除；但需确保无法通过时间+科室+其他信息反向识别患者。

4.2025年某三甲医院部署了基于AI的辅助诊断系统，其训练数据包含患者匿名化电子病历。根据《生成式人工智能服务管理暂行办法》，下列哪项操作不符合要求？

A.训练数据中保留患者年龄、性别等统计信息

B.对匿名化数据进行二次加密存储

C.在训练过程中未重新识别出具体患者身份

D.直接使用未经过去标识化处理的原始病历数据

答案：D

解析：生成式AI使用医疗数据需符合去标识化要求，原始病历数据包含可识别个人身份信息，直接用于训练违反数据安全规定。

5.医院信息系统遭遇勒索软件攻击后，最优先的应急操作是：

A.断开感染设备与内网的连接

B.尝试使用漏洞修复工具清除病毒

C.联系第三方数据恢复公司

D.向全体员工发送攻击预警通知

答案：A

解析：勒索软件传播依赖网络连接，第一时间断网可防止攻击扩散至其他设备，避免损失扩大。

6.下列哪项属于医院信息安全“技术控制措施”？

A.制定《信息系统访问权限审批制度》

B.对信息科员工开展年度安全培训

C.部署数据库审计系统监控数据操作

D.与第三方运维公司签订保密协议

答案：C

解析：技术控制措施指通过技术手段实现的安全防护（如审计、加密、防火墙）；A、B、D属于管理控制措施。

7.某医院拟将部分检验数据共享至区域医疗健康平台，根据《医疗数据共享应用管理暂行办法》，需首先完成的步骤是：

A.与平台签订数据共享协议

B.对共享数据进行去标识化处理

C.开展数据共享安全影响评估（DSIA）

D.获得患者书面授权同意

答案：C

解析：数据共享前需进行安全影响评估，分析数据泄露、滥用等风险，制定防控措施，这是合规共享的前置条件。

8.医院移动护理终端（PDA）管理中，不符合安全要求的是：

A.所有PDA启用设备绑定（仅允许绑定护士工号登录）

B.终端未使用时自动锁定屏幕（5分钟无操作）

C.允许护士自行安装微信、抖音等社交软件

D.定期对PDA存储的患者信息进行数据擦除（每月1次）

答案：C

解析：移动终端需限制非必要应用安装，避免恶意软件通过第三方应用入侵，导致患者信息泄露。

9.电子病历系统的“防篡改”要求应通过以下哪种技术实现？

A.哈希值校验（对每次修改生成唯一哈希值并存储）

B.数据库备份（每日全量备份）

C.访问控制（限制修改权限）

D.日志审计（记录所有修改操作）

答案：A

解析：哈希值校验可验证数据是否被篡改（原始数据与当前数据哈希值不一致即判定篡改），是防篡改的核心技术；B、C、D是辅助措施。

10.医院信息安全事件分级中，“导致500名以上患者个人信息泄露，且可能造成较大社会影响”属于：

A.特别重大事件（Ⅰ级）

B.重大事件（Ⅱ级）

C.较大事件（Ⅲ级）

D.一般事件（Ⅳ级）

答案：B

解析：根据《医疗卫生机构网络安全事件分级指南》，泄露500-1000人个人信息且造成较大社会影响的为Ⅱ级事件；1000人以上为Ⅰ级。

11.医院开展信息安全风险评估时，不属于“威胁源”的是：

A.信息科员工操作失误

B.医疗设备固件存在漏洞

C.外部黑客组织攻击

D.数据中心供电中断

答案：B

解析：