2025年医院信息安全培训试题及答案.docxVIP

2025年医院信息安全培训试题及答案

一、单项选择题（每题2分，共30分）

1.依据《个人信息保护法》及医疗机构数据分类要求，以下哪类数据属于最高等级（L4级）敏感数据？

A.患者姓名、年龄

B.电子病历诊断结论、基因检测结果

C.医院设备采购清单

D.门诊叫号队列信息

答案：B（解析：L4级为最高敏感等级，包含直接关联患者健康权、隐私权的核心数据，如诊断结论、基因信息等）

2.某医院信息系统采用基于角色的访问控制（RBAC），护士张某因轮岗需从住院部调至门诊部，系统管理员应执行的正确操作是？

A.直接删除张某原住院部角色权限

B.新增门诊部角色并绑定权限，保留原角色权限

C.撤销原住院部角色权限，绑定新的门诊部角色权限

D.为张某开通超级管理员临时权限完成过渡

答案：C（解析：RBAC要求权限与角色严格绑定，岗位变更需同步调整角色权限，避免权限冗余）

3.医院部署终端安全管理系统时，以下哪项措施不符合最小权限原则？

A.限制护士站电脑仅安装HIS系统客户端

B.允许医生工作站安装统计分析软件

C.为后勤部门电脑开放所有USB接口读写权限

D.禁止收费窗口终端使用蓝牙功能

答案：C（解析：最小权限原则要求仅授予完成工作所需的必要权限，后勤部门无需全USB接口读写权限）

4.2025年新型钓鱼攻击中，攻击者通过AI生成与某医生日常用语高度相似的邮件，诱导点击恶意链接。此类攻击主要利用了信息安全的哪一要素？

A.技术防护漏洞

B.人员安全意识薄弱

C.管理制度缺失

D.网络边界防护不足

答案：B（解析：AI钓鱼攻击的核心是模仿可信沟通方式，突破点在于目标人员的安全意识判断）

5.某医院HIS系统数据库发生异常访问，审计日志显示某护士账号在非工作时间（凌晨3:15）登录并查询100份非管床患者病历。最可能的安全事件类型是？

A.系统故障导致的误操作

B.账号被盗用进行数据窃取

C.存储设备硬件损坏

D.网络延迟导致的日志错记

答案：B（解析：非工作时间、非职责范围的高频查询符合账号盗用特征）

6.依据《医疗机构网络安全管理规定》，二级以上医院应当至少每多久开展一次全面的信息安全风险评估？

A.半年

B.1年

C.2年

D.3年

答案：B（解析：法规明确二级以上医疗机构需每年开展全面风险评估）

7.医院移动护理终端（PDA）管理中，以下哪项措施存在安全隐患？

A.采用设备绑定，仅允许注册设备接入内网

B.开启屏幕自动锁定（5分钟无操作锁定）

C.定期（每月）强制更新设备系统补丁

D.允许护士使用个人微信传输患者检查报告截图

答案：D（解析：个人社交软件传输敏感数据违反专人专用、专机专用原则，易导致数据泄露）

8.某医院拟与第三方公司合作开发AI辅助诊断系统，关于数据共享的安全要求，以下错误的是？

A.签订数据安全协议，明确数据使用范围和责任

B.对共享数据进行去标识化处理（删除姓名、ID号）

C.要求第三方承诺不将数据用于协议外用途

D.提供原始数据库全量访问权限便于系统开发

答案：D（解析：需遵循最小必要原则，禁止提供超出开发需求的全量数据权限）

9.电子病历系统登录时，采用用户名+动态验证码+指纹识别的三重认证方式，主要提升了哪方面的安全防护能力？

A.数据加密强度

B.身份认证可靠性

C.访问控制粒度

D.日志审计完整性

答案：B（解析：多因素认证（MFA）通过组合不同认证方式，显著提高身份验证的可靠性）

10.医院信息中心发现某科室交换机遭受ARP欺骗攻击，导致部分终端无法访问HIS系统。最直接的应急处置措施是？

A.关闭该交换机电源重启

B.在交换机上绑定IP与MAC地址

C.对受影响终端进行全盘病毒扫描

D.升级交换机固件版本

答案：B（解析：ARP欺骗的核心是伪造IP-MAC映射，绑定静态映射可阻断攻击）

11.依据《数据安全法》，医院发生数据泄露事件后，向市级网信部门和卫生健康主管部门报告的时限要求是？

A.立即（1小时内）

B.24小时内

C.48小时内

D.72小时内

答案：B（解析：法规要求发生数据泄露后，应在24小时内向相关部门报告）

12.医院部署物联网设备（如智能监护仪）时，以下安全措施优先级最低的是？

A.为设备分配独立IP段并设置防火墙策略

B.定期更改设备默认管理密码

C.开启设备日志记录功能

D.允许设备直接连接互联网更新固件

答案：D（解析：物联网设备直接连接公网易受攻击，应通过内网安全通道更新固件）

13.某医生在移动终端查看电子病历时，系统提示访问超出当日权限次数限制，这属于哪种安全控制机制？

A.流量控制

B.会话管理

C.访问频率限制

D.数据脱敏

答案：C（解