醫(yī)院信息安全管理制度試題及答案一、單項(xiàng)選擇題（每題2分，共30分）1.根據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》，醫(yī)療機(jī)構(gòu)處理患者個(gè)人信息時(shí)，以下哪項(xiàng)不屬于“最小必要”原則的要求？A.僅收集診療必需的個(gè)人信息B.存儲(chǔ)期限為完成診療所需的最短時(shí)間C.向第三方提供患者全部就診記錄用于學(xué)術(shù)研究D.限制訪問(wèn)權(quán)限至具體診療環(huán)節(jié)相關(guān)人員答案：C2.醫(yī)院信息系統(tǒng)等級(jí)保護(hù)定級(jí)中，涉及患者診療核心數(shù)據(jù)（如電子病歷、檢驗(yàn)檢查結(jié)果）的系統(tǒng)應(yīng)定為幾級(jí)？A.一級(jí)（用戶自主保護(hù)級(jí)）B.二級(jí)（系統(tǒng)審計(jì)保護(hù)級(jí)）C.三級(jí)（安全標(biāo)記保護(hù)級(jí)）D.四級(jí)（結(jié)構(gòu)化保護(hù)級(jí)）答案：C（根據(jù)《信息安全等級(jí)保護(hù)管理辦法》，三級(jí)系統(tǒng)為“一旦遭到破壞會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或?qū)?guó)家安全造成損害”，醫(yī)院核心業(yè)務(wù)系統(tǒng)符合此標(biāo)準(zhǔn)）3.以下哪項(xiàng)不屬于醫(yī)院信息安全管理中“訪問(wèn)控制”的基本要求？A.系統(tǒng)管理員與數(shù)據(jù)錄入員使用同一賬號(hào)登錄B.采用多因素認(rèn)證（如賬號(hào)+動(dòng)態(tài)驗(yàn)證碼）登錄核心系統(tǒng)C.定期（每季度）審核用戶權(quán)限，清理冗余賬號(hào)D.對(duì)不同科室（如門診、住院、藥房）設(shè)置差異化訪問(wèn)權(quán)限答案：A（訪問(wèn)控制要求權(quán)限分離，避免職責(zé)沖突）4.醫(yī)院信息系統(tǒng)日志應(yīng)至少保存多長(zhǎng)時(shí)間？A.3個(gè)月B.6個(gè)月C.1年D.2年答案：D（依據(jù)《網(wǎng)絡(luò)安全法》第二十一條，網(wǎng)絡(luò)日志留存時(shí)間不得少于六個(gè)月；但醫(yī)療機(jī)構(gòu)因涉及患者權(quán)益，通常要求延長(zhǎng)至2年）5.關(guān)于移動(dòng)存儲(chǔ)設(shè)備（U盤(pán)、移動(dòng)硬盤(pán)）管理，以下哪項(xiàng)符合規(guī)定？A.醫(yī)護(hù)人員可使用私人U盤(pán)拷貝患者影像資料（PACS）用于會(huì)診B.所有移動(dòng)存儲(chǔ)設(shè)備需經(jīng)信息部門備案，格式化后標(biāo)注“內(nèi)部專用”C.為方便數(shù)據(jù)傳輸，允許移動(dòng)存儲(chǔ)設(shè)備在內(nèi)外網(wǎng)環(huán)境中交叉使用D.實(shí)習(xí)醫(yī)生可借用帶教老師的移動(dòng)存儲(chǔ)設(shè)備拷貝學(xué)習(xí)資料答案：B（移動(dòng)存儲(chǔ)設(shè)備需統(tǒng)一管理，禁止私人設(shè)備接入內(nèi)部系統(tǒng)，禁止交叉使用）6.醫(yī)院開(kāi)展信息安全培訓(xùn)時(shí)，新入職員工的初始培訓(xùn)時(shí)長(zhǎng)不得少于多少學(xué)時(shí)？A.2學(xué)時(shí)B.4學(xué)時(shí)C.8學(xué)時(shí)D.16學(xué)時(shí)答案：C（《醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》要求新員工安全培訓(xùn)不少于8學(xué)時(shí)，每年復(fù)訓(xùn)不少于4學(xué)時(shí)）7.以下哪種場(chǎng)景屬于“信息安全事件”？A.醫(yī)生因操作失誤刪除自己當(dāng)天錄入的門診病歷B.醫(yī)院官網(wǎng)因服務(wù)器故障短暫無(wú)法訪問(wèn)（<30分鐘）C.護(hù)士誤將患者A的檢驗(yàn)報(bào)告發(fā)送至患者B的手機(jī)D.信息科工程師為測(cè)試系統(tǒng)性能，臨時(shí)限制部分終端訪問(wèn)答案：C（信息安全事件指因人為或技術(shù)原因?qū)е碌男畔⑿孤丁⒋鄹?、丟失或系統(tǒng)服務(wù)中斷，影響患者權(quán)益或醫(yī)院正常運(yùn)行）8.醫(yī)院重要數(shù)據(jù)備份應(yīng)遵循的“3-2-1”原則是指？A.3份備份、2種介質(zhì)、1個(gè)離線存儲(chǔ)B.3個(gè)版本、2個(gè)地點(diǎn)、1種加密方式C.3天備份一次、2臺(tái)設(shè)備、1個(gè)云存儲(chǔ)D.3級(jí)審核、2人確認(rèn)、1份紙質(zhì)記錄答案：A（“3-2-1”原則：3份數(shù)據(jù)副本、2種不同存儲(chǔ)介質(zhì)、1份離線異地存儲(chǔ)）9.患者電子病歷的訪問(wèn)日志中，必須記錄的信息不包括？A.訪問(wèn)時(shí)間B.訪問(wèn)終端IP地址C.訪問(wèn)內(nèi)容（如具體病歷字段）D.訪問(wèn)者的個(gè)人生活軌跡（如考勤記錄）答案：D（日志需記錄與信息訪問(wèn)直接相關(guān)的要素，不涉及無(wú)關(guān)個(gè)人信息）10.醫(yī)療機(jī)構(gòu)與第三方合作開(kāi)發(fā)信息系統(tǒng)時(shí)，以下哪項(xiàng)不符合安全要求？A.在合同中明確第三方需遵守《個(gè)人信息保護(hù)法》B.要求第三方簽署保密協(xié)議，限制其對(duì)患者數(shù)據(jù)的訪問(wèn)范圍C.允許第三方開(kāi)發(fā)人員直接使用醫(yī)院內(nèi)部賬號(hào)登錄生產(chǎn)系統(tǒng)D.系統(tǒng)上線前由醫(yī)院信息部門進(jìn)行安全測(cè)試和漏洞掃描答案：C（第三方人員需使用臨時(shí)賬號(hào)，權(quán)限最小化，禁止直接使用內(nèi)部賬號(hào)）11.以下哪項(xiàng)屬于“數(shù)據(jù)脫敏”技術(shù)？A.對(duì)患者身份證號(hào)進(jìn)行哈希處理（如僅顯示后4位）B.將電子病歷從PDF格式轉(zhuǎn)換為Word格式C.為影像資料添加醫(yī)院水印D.定期清理超過(guò)保存期限的臨時(shí)數(shù)據(jù)答案：A（脫敏技術(shù)通過(guò)加密、匿名化等方式隱藏敏感信息，哈希處理是典型方法）12.醫(yī)院信息安全領(lǐng)導(dǎo)小組的最高決策機(jī)構(gòu)通常是？A.信息科B.醫(yī)務(wù)處C.醫(yī)院黨委/院長(zhǎng)辦公會(huì)D.護(hù)理部答案：C（信息安全屬于醫(yī)院戰(zhàn)略層面工作，需由院級(jí)領(lǐng)導(dǎo)決策）13.發(fā)生大規(guī)?；颊咝畔⑿孤妒录ㄉ婕?00人以上）時(shí)，醫(yī)院應(yīng)在多長(zhǎng)時(shí)間內(nèi)向?qū)俚匦l(wèi)生健康主管部門報(bào)告？A.1小時(shí)B.2小時(shí)C.12小時(shí)D.24小時(shí)答案：B（依據(jù)《衛(wèi)生健康行業(yè)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》，重大事件需2小時(shí)內(nèi)報(bào)告）14.以下哪項(xiàng)不符合終端設(shè)備安全管理要求？A.所有辦公電腦安裝統(tǒng)一殺毒軟件，定期更新病毒庫(kù)B.允許醫(yī)生在工作電腦上安裝私人社交軟件（如微信）C.對(duì)閑置終端設(shè)備進(jìn)行物理封存，刪除存儲(chǔ)數(shù)據(jù)D.護(hù)士站電腦設(shè)置屏幕自動(dòng)鎖定（5分鐘無(wú)操作）答案：B（工作終端需限制非必要軟件安裝，防止惡意程序入侵）15.醫(yī)院信息安全風(fēng)險(xiǎn)評(píng)估的周期應(yīng)為？A.每半年一次B.每年一次C.每?jī)赡暌淮蜠.每三年一次答案：B（《網(wǎng)絡(luò)安全法》要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者每年至少進(jìn)行一次風(fēng)險(xiǎn)評(píng)估）二、多項(xiàng)選擇題（每題3分，共30分，少選、錯(cuò)選均不得分）1.醫(yī)院信息安全管理的法規(guī)依據(jù)包括以下哪些？A.《中華人民共和國(guó)網(wǎng)絡(luò)安全法》B.《中華人民共和國(guó)數(shù)據(jù)安全法》C.《醫(yī)療質(zhì)量安全核心制度要點(diǎn)》D.《個(gè)人信息保護(hù)法》答案：ABD（《醫(yī)療質(zhì)量安全核心制度要點(diǎn)》主要規(guī)范診療行為，不直接涉及信息安全）2.以下屬于醫(yī)院“重要數(shù)據(jù)”的有？A.患者姓名、年齡B.患者基因檢測(cè)結(jié)果C.醫(yī)院藥品庫(kù)存數(shù)據(jù)D.傳染病患者的流行病學(xué)調(diào)查信息答案：BD（重要數(shù)據(jù)指一旦泄露可能危害國(guó)家安全、公共利益或個(gè)人重大權(quán)益的數(shù)據(jù)，基因信息和傳染病流調(diào)信息屬于此類）3.信息安全管理體系（ISMS）的組成部分包括？A.安全策略文件（如《信息安全管理制度》）B.技術(shù)防護(hù)措施（如防火墻、入侵檢測(cè)系統(tǒng)）C.人員安全意識(shí)培訓(xùn)D.安全事件應(yīng)急響應(yīng)預(yù)案答案：ABCD（ISMS涵蓋管理、技術(shù)、人員、流程等多維度）4.訪問(wèn)控制的“三要素”包括？A.主體（如用戶、程序）B.客體（如數(shù)據(jù)、系統(tǒng)資源）C.權(quán)限（如讀取、修改、刪除）D.審計(jì)（如日志記錄）答案：ABC（訪問(wèn)控制三要素為主體、客體、權(quán)限，審計(jì)是后續(xù)監(jiān)督環(huán)節(jié)）5.以下哪些行為可能導(dǎo)致信息安全風(fēng)險(xiǎn)？A.醫(yī)生使用弱密碼（如“123456”）登錄電子病歷系統(tǒng)B.護(hù)士將工牌遺忘在分診臺(tái)，被無(wú)關(guān)人員拾取C.信息科工程師在未授權(quán)情況下遠(yuǎn)程登錄服務(wù)器維護(hù)D.醫(yī)院官網(wǎng)發(fā)布經(jīng)脫敏處理的年度患者統(tǒng)計(jì)報(bào)告答案：ABC（弱密碼、工牌丟失、未授權(quán)遠(yuǎn)程登錄均可能導(dǎo)致非法訪問(wèn)，脫敏報(bào)告無(wú)風(fēng)險(xiǎn)）6.數(shù)據(jù)備份的基本原則包括？A.實(shí)時(shí)備份（如數(shù)據(jù)庫(kù)自動(dòng)同步）B.異機(jī)備份（備份設(shè)備與原設(shè)備分離）C.定期驗(yàn)證（檢查備份數(shù)據(jù)的完整性）D.多版本保留（如每日、每周、每月備份）答案：BCD（實(shí)時(shí)備份是部分系統(tǒng)的要求，但非所有數(shù)據(jù)的基本原則；異機(jī)、驗(yàn)證、多版本是通用原則）7.信息安全事件的分類標(biāo)準(zhǔn)包括？A.影響范圍（如涉及患者數(shù)量、系統(tǒng)數(shù)量）B.影響程度（如是否導(dǎo)致診療中斷、患者權(quán)益受損）C.事件來(lái)源（如內(nèi)部失誤、外部攻擊）D.事件持續(xù)時(shí)間（如分鐘級(jí)、小時(shí)級(jí)、天級(jí)）答案：ABCD（分類需綜合考慮范圍、程度、來(lái)源、持續(xù)時(shí)間）8.醫(yī)院信息系統(tǒng)的“三員分立”指哪三個(gè)崗位？A.系統(tǒng)管理員（負(fù)責(zé)系統(tǒng)配置）B.安全管理員（負(fù)責(zé)安全策略制定）C.審計(jì)管理員（負(fù)責(zé)日志審計(jì)）D.數(shù)據(jù)管理員（負(fù)責(zé)數(shù)據(jù)錄入）答案：ABC（“三員分立”是等級(jí)保護(hù)要求，即系統(tǒng)管理、安全管理、審計(jì)管理崗位分離）9.以下哪些屬于物理安全防護(hù)措施？A.機(jī)房安裝門禁系統(tǒng)（僅授權(quán)人員進(jìn)入）B.服務(wù)器設(shè)置開(kāi)機(jī)密碼和BIOS密碼C.核心設(shè)備采用雙電源冗余供電D.對(duì)存儲(chǔ)介質(zhì)（如硬盤(pán)）進(jìn)行加密答案：ABC（物理安全指設(shè)備、環(huán)境的實(shí)體防護(hù)，介質(zhì)加密屬于邏輯安全）10.患者個(gè)人信息處理的“告知-同意”原則要求？A.明確告知信息處理的目的、方式、范圍B.獲得患者或其法定代理人的書(shū)面或電子同意C.在患者拒絕同意時(shí)，拒絕提供基本診療服務(wù)D.告知患者有權(quán)撤回同意，并說(shuō)明撤回后的影響答案：ABD（醫(yī)療機(jī)構(gòu)不得因患者拒絕同意非必要信息處理而拒絕基本服務(wù)）三、判斷題（每題1分，共10分，正確劃“√”，錯(cuò)誤劃“×”）1.醫(yī)院信息安全僅涉及技術(shù)防護(hù)，與管理制度無(wú)關(guān)。（）答案：×（信息安全是“三分技術(shù)，七分管理”，制度是核心）2.實(shí)習(xí)醫(yī)生因工作需要可臨時(shí)使用帶教老師的賬號(hào)登錄電子病歷系統(tǒng)。（）答案：×（必須使用獨(dú)立賬號(hào)，禁止共享）3.為提高效率，護(hù)士站電腦可關(guān)閉屏幕自動(dòng)鎖定功能。（）答案：×（需開(kāi)啟自動(dòng)鎖定防止他人誤操作）4.醫(yī)院可將患者姓名、就診科室等非敏感信息提供給醫(yī)藥代表用于學(xué)術(shù)統(tǒng)計(jì)。（）答案：×（需經(jīng)患者同意，且“非敏感信息”需嚴(yán)格界定，姓名仍屬個(gè)人信息）5.信息科工程師可直接訪問(wèn)所有患者電子病歷，無(wú)需額外權(quán)限審批。（）答案：×（需遵循最小權(quán)限原則，僅因維護(hù)需要訪問(wèn)必要數(shù)據(jù)）6.發(fā)生信息安全事件后，應(yīng)優(yōu)先恢復(fù)系統(tǒng)運(yùn)行，再進(jìn)行事件調(diào)查。（）答案：×（需先隔離現(xiàn)場(chǎng)保留證據(jù)，再恢復(fù)運(yùn)行）7.移動(dòng)終端（如醫(yī)生個(gè)人手機(jī)）連接醫(yī)院Wi-Fi時(shí)，無(wú)需進(jìn)行安全認(rèn)證。（）答案：×（需通過(guò)VPN或設(shè)備準(zhǔn)入系統(tǒng)認(rèn)證，防止非法接入）8.醫(yī)院重要數(shù)據(jù)可存儲(chǔ)于公有云平臺(tái)，只需與云服務(wù)商簽訂保密協(xié)議即可。（）答案：×（重要數(shù)據(jù)需本地化存儲(chǔ)，公有云需通過(guò)安全評(píng)估）9.信息安全培訓(xùn)只需針對(duì)信息科人員，臨床醫(yī)護(hù)人員無(wú)需參與。（）答案：×（全體員工均需接受培訓(xùn)，醫(yī)護(hù)是數(shù)據(jù)接觸的主要群體）10.數(shù)據(jù)脫敏后的信息可隨意共享，無(wú)需再遵守個(gè)人信息保護(hù)規(guī)定。（）答案：×（脫敏需達(dá)到“無(wú)法復(fù)原”標(biāo)準(zhǔn)，否則仍需保護(hù)）四、簡(jiǎn)答題（每題6分，共30分）1.簡(jiǎn)述醫(yī)院信息安全管理的“三同步”原則及其具體內(nèi)容。答案：“三同步”原則是指醫(yī)院信息化建設(shè)中，信息安全措施應(yīng)與系統(tǒng)建設(shè)“同步規(guī)劃、同步建設(shè)、同步使用”。具體內(nèi)容：（1）同步規(guī)劃：在系統(tǒng)需求分析階段，將安全需求（如權(quán)限管理、數(shù)據(jù)加密）納入整體設(shè)計(jì)；（2）同步建設(shè)：在系統(tǒng)開(kāi)發(fā)、部署過(guò)程中，同步實(shí)施安全技術(shù)措施（如防火墻、訪問(wèn)控制）和管理措施（如安全制度）；（3）同步使用：系統(tǒng)上線時(shí)，安全措施需同時(shí)投入運(yùn)行，確保“安全與業(yè)務(wù)同生效”。2.列出醫(yī)院信息安全事件的主要類型（至少5類），并舉例說(shuō)明。答案：主要類型包括：（1）數(shù)據(jù)泄露：如護(hù)士誤將患者影像資料發(fā)送至公共郵箱；（2）數(shù)據(jù)篡改：如黑客入侵檢驗(yàn)系統(tǒng)，修改患者血常規(guī)結(jié)果；（3）系統(tǒng)中斷：如服務(wù)器硬件故障導(dǎo)致電子病歷系統(tǒng)無(wú)法訪問(wèn)；（4）非法訪問(wèn)：如清潔工拾取醫(yī)生工牌后登錄系統(tǒng)查看患者信息；（5）惡意程序感染：如工作電腦因訪問(wèn)釣魚(yú)網(wǎng)站導(dǎo)致勒索病毒入侵。3.說(shuō)明醫(yī)院信息系統(tǒng)權(quán)限管理的“最小權(quán)限原則”及其實(shí)施要點(diǎn)。答案：“最小權(quán)限原則”指用戶僅獲得完成工作所需的最低權(quán)限，避免過(guò)度授權(quán)。實(shí)施要點(diǎn)：（1）按崗位職責(zé)劃分權(quán)限（如門診醫(yī)生僅能查看本科室患者病歷，無(wú)法修改檢驗(yàn)結(jié)果）；（2）權(quán)限申請(qǐng)需經(jīng)審批（如護(hù)士申請(qǐng)查看藥房庫(kù)存需經(jīng)護(hù)士長(zhǎng)和信息科審核）；（3）定期（每季度）審核權(quán)限，清理離職、調(diào)崗人員的冗余權(quán)限；（4）關(guān)鍵操作（如刪除病歷）需雙人確認(rèn)或多級(jí)審批。4.簡(jiǎn)述醫(yī)院數(shù)據(jù)備份與恢復(fù)的操作流程（至少5個(gè)步驟）。答案：流程如下：（1）制定備份策略：明確備份數(shù)據(jù)范圍（如電子病歷、檢驗(yàn)結(jié)果）、頻率（每日增量備份+每周全量備份）、介質(zhì)（磁盤(pán)+磁帶）；（2）執(zhí)行備份操作：通過(guò)自動(dòng)化工具（如備份軟件）定時(shí)備份，記錄備份時(shí)間、容量、狀態(tài)；（3）驗(yàn)證備份有效性：隨機(jī)抽取備份數(shù)據(jù)進(jìn)行恢復(fù)測(cè)試，檢查完整性和可用性；（4）異地存儲(chǔ)：將備份介質(zhì)存放至與機(jī)房物理隔離的地點(diǎn)（如另一棟辦公樓）；（5）恢復(fù)演練：每半年進(jìn)行一次全系統(tǒng)恢復(fù)演練，模擬數(shù)據(jù)丟失場(chǎng)景，驗(yàn)證恢復(fù)時(shí)間（RTO）和恢復(fù)點(diǎn)（RPO）是否符合要求。5.列舉醫(yī)院信息安全技術(shù)防護(hù)的主要措施（至少6項(xiàng)）。答案：主要技術(shù)措施包括：（1）網(wǎng)絡(luò)邊界防護(hù)：部署防火墻、入侵檢測(cè)系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS），監(jiān)控內(nèi)外網(wǎng)流量；（2）終端安全管理：安裝統(tǒng)一殺毒軟件、終端準(zhǔn)入系統(tǒng)，禁止未授權(quán)設(shè)備接入；（3）數(shù)據(jù)加密：對(duì)傳輸中的數(shù)據(jù)（如HIS系統(tǒng)與電子病歷系統(tǒng)間交互）采用SSL/TLS加密，對(duì)存儲(chǔ)數(shù)據(jù)（如數(shù)據(jù)庫(kù)）進(jìn)行靜態(tài)加密；（4）訪問(wèn)控制：實(shí)施角色權(quán)限管理（RBAC），對(duì)核心系統(tǒng)啟用多因素認(rèn)證（MFA）；（5）日志審計(jì)：部署日志集中管理系統(tǒng)，對(duì)訪問(wèn)、操作、異常行為進(jìn)行實(shí)時(shí)監(jiān)控和留存；（6）漏洞管理：定期（每月）進(jìn)行系統(tǒng)漏洞掃描，及時(shí)修復(fù)高危漏洞（如通過(guò)補(bǔ)丁升級(jí)）；（7）災(zāi)難恢復(fù)：建設(shè)異地災(zāi)備中心，確保主系統(tǒng)故障時(shí)可快速切換至災(zāi)備系統(tǒng)。五、案例分析題（共20分）案例背景：某三級(jí)醫(yī)院急診科護(hù)士張某在值班期間，將自己的工牌（含系統(tǒng)登錄賬號(hào)）遺忘在分診臺(tái)，被實(shí)習(xí)護(hù)生李某拾取。李某出于好奇，使用該工牌登錄醫(yī)院電子病歷系統(tǒng)，查看了3名患者的詳細(xì)診療記錄，并將其中1名患者的手術(shù)記錄拍照發(fā)送至個(gè)人微信朋友圈（未泄露患者姓名、住院號(hào)）。次日，張某發(fā)現(xiàn)工牌丟失并上報(bào)信息科，經(jīng)日志審計(jì)發(fā)現(xiàn)李某的訪問(wèn)行為。問(wèn)題：1.分析該事件中存在的信息安全風(fēng)險(xiǎn)點(diǎn)（8分）。2.指出相關(guān)人員的責(zé)任（6分）。3.說(shuō)明醫(yī)院應(yīng)采取的后續(xù)處理措施（6分）。答案：1.風(fēng)險(xiǎn)點(diǎn)分析：（1）工牌管理漏洞：護(hù)士張某未妥善保管工牌，導(dǎo)致賬號(hào)泄露；（2）訪問(wèn)控制缺陷：系統(tǒng)未限制非授權(quán)人員（實(shí)習(xí)護(hù)生李某無(wú)電子病歷訪問(wèn)權(quán)限）登錄，或未啟用多因素認(rèn)證（僅工牌即可登錄）；（3）日志審計(jì)滯后：李某登錄后未及時(shí)觸發(fā)異常訪問(wèn)警報(bào)（如非授權(quán)賬號(hào)登錄），導(dǎo)致事件未被實(shí)時(shí)發(fā)現(xiàn)；（4）數(shù)據(jù)泄露風(fēng)險(xiǎn)：李某將手術(shù)記錄拍照發(fā)送至微信，雖未泄露姓名