2025年信息系统安全专家HIPAA（美国健康保险流通与责任法案）审计专题试卷及解析.pdfVIP

2025年信息系统安全专家HIPAA（美国健康保险流通与责任法案）审计专题试卷及解析1

2025年信息系统安全专家HIPAA（美国健康保险流通与

责任法案）审计专题试卷及解析

2025年信息系统安全专家HIPAA（美国健康保险流通与责任法案）审计专题试卷

及解析

第一部分：单项选择题（共10题，每题2分）

1、根据HIPAA安全规则，以下哪项不属于“行政保障措施”的范畴？

A、安全官员指定

B、访问管理

C、信息访问管理

D、工作区安全

【答案】D

【解析】正确答案是D。HIPAA安全规则将保障措施分为行政、物理和技术三类。

工作区安全属于物理保障措施，旨在控制对设施的物理访问。A、B、C均为行政保障

措施，涉及安全策略、流程和人员管理。知识点：HIPAA安全规则三大保障措施分类。

易错点：容易将”访问管理”误认为技术措施，但安全规则中的访问管理主要指策略层面

的管理，属于行政措施。

2、HIPAA隐私规则中，“最小必要使用与披露”原则主要适用于以下哪种情况？

A、患者本人请求获取其健康信息

B、医疗机构内部质量评估

C、执法部门依法调取信息

D、公共卫生报告

【答案】B

【解析】正确答案是B。最小必要原则要求仅使用、披露或请求履行工作所必需的最

少健康信息，主要适用于常规医疗操作如质量评估、病例审查等。A、C、D属于HIPAA

明确豁免最小必要原则的情形。知识点：HIPAA隐私规则的例外情形。易错点：容易

忽视患者本人获取信息时不受最小必要限制的特殊规定。

3、根据HIPAA，以下哪项属于”可识别健康信息”（PHI）？

A、匿名化处理后的疾病统计数据

B、包含患者姓名和病历号的诊疗记录

C、不包含任何身份标识的实验室检测结果

D、仅包含年龄和性别的流行病学数据

【答案】B

【解析】正确答案是B。PHI指包含任何身份标识的健康信息，包括姓名、病历号

等18种标识符。A、C、D均不含身份标识，不属于PHI。知识点：PHI的构成要素。

2025年信息系统安全专家HIPAA（美国健康保险流通与责任法案）审计专题试卷及解析2

易错点：容易将”去标识化信息”误认为PHI，关键在于是否包含18种身份标识符之一。

4、HIPAA安全规则要求进行风险评估的频率是？

A、每月一次

B、每季度一次

C、根据环境变化定期评估

D、每年一次

【答案】C

【解析】正确答案是C。HIPAA要求”定期”评估，但未规定具体频率，需根据组织环

境变化（如技术更新、威胁变化）确定合理周期。A、B、D过于绝对化。知识点：HIPAA

风险评估的灵活性要求。易错点：容易误认为有固定评估周期，实际应根据风险动态调

整。

5、以下哪项不属于HIPAA隐私规则允许的”无需授权的披露”情形？

A、向患者本人披露

B、向公共卫生部门报告传染病

C、向媒体披露名人患者信息

D、为治疗目的向其他医疗机构披露

【答案】C

【解析】正确答案是C。HIPAA严格限制向媒体披露PHI，除非获得患者授权或符

合其他例外情形。A、B、D均属于明确允许的无授权披露情形。知识点：HIPAA披露

的例外情形。易错点：容易忽视媒体披露的特殊限制要求。

6、根据HIPAA，业务伙伴协议（BAA）必须包含以下哪项内容？

A、业务伙伴的财务状况

B、PHI使用和披露的限制

C、员工培训计划

D、技术加密标准

【答案】B

【解析】正确答案是B。BAA核心是规定业务伙伴对PHI的保护义务，包括使用

披露限制。A、C、D虽重要但非BAA强制要求。知识点：BAA的核心要素。易错点：

容易将技术标准误认为BAA必要条款，实际BAA更关注义务分配。

7、HIPAA安全规则中”加密”属于哪类保障措施？

A、行政保障措施

B、物理保障措施

C、技术保障措施

D、管理保障措施

【答案】C

2025年信息系统安全专家HIPAA（美国健康保险流通与责任法案）审计专题试卷及解析3