CIPM 문제 11
대본
다음 질문에 답하려면 다음을 사용하십시오.
Albert는 15년 동안 전 세계적으로 장식용 양초를 판매하던 미국의 우편 주문 회사인 Treasure Box에서 일했지만 최근에는 48개 인접 주의 고객에게만 배송을 제한하기로 결정했습니다. 수년간의 경험에도 불구하고 Albert는 종종 관리직에서 간과됩니다. 승진하지 못하는 것에 대한 좌절감과 함께 개인 정보 보호 문제에 대한 최근 관심은 Albert가 긍정적인 변화를 주도하도록 동기를 부여했습니다.
그는 곧 새로 광고된 직책에 대해 인터뷰할 예정이며 인터뷰 중에 Albert는 경영진에게 회사의 개인 정보 보호 프로그램의 실수를 알릴 계획입니다. 그는 회사의 구식 정책과 절차로 인한 부정적인 결과를 방지하기 위해 승진으로 보상을 받을 것이라고 확신합니다.
예를 들어, Albert는 AICPA(American Institute of Certified Public Accountans)/CICA(Canadian Institute of Chartered Accountants) PMM(Privacy Maturity Model)에 대해 배웠습니다. Albert는 이 모델이 개인 데이터를 보호하는 Treasure Box의 능력을 측정하는 유용한 방법이라고 생각합니다. Albert는 Treasure Box가 이 모델의 최고 수준의 요구 사항을 충족하지 못한다는 것을 알아차렸습니다. 인터뷰에서 Albert는 고객에게 가장 엄격한 보안을 제공하기 위해 회사가 이 수준을 충족하도록 지원하겠다고 약속할 것입니다.
Albert는 인터뷰에서 긍정적인 전망을 보여주고 싶어합니다. 그는 외부 위협으로부터 고객 및 직원 개인 데이터의 보안에 대한 회사의 약속을 칭찬할 예정입니다. 그러나 Albert는 특히 직접 전화 마케팅 분야에서 회사 내 높은 이직률에 대해 걱정하고 있습니다. 그는 마케팅을 하기 위해 고용된 낯선 얼굴들을 매일 많이 보았고, 그는 종종 점심 식당에서 장시간 근무, 낮은 급여, 회사 절차에 대한 노골적인 무시에 대한 불만을 종종 듣습니다.
또한, Treasure Box에는 최근 2건의 보안 사고가 있었습니다. 회사는 내부 감사 및 보안 보호 장치 업데이트를 통해 사고에 대응했습니다. 그러나 이익은 여전히 영향을 받는 것으로 보이며 일화적인 증거에 따르면 많은 사람들이 여전히 불신을 품고 있습니다. Albert는 회사의 회복을 돕고 싶어합니다. 그는 알버트가 세부 사항을 알지 못하지만 대중이 알지 못하는 사건이 적어도 하나는 있다는 것을 알고 있습니다. 그는 사건을 비밀로 유지하려는 회사의 주장이 회사의 명성에 더 큰 손상을 줄 수 있다고 생각합니다. Albert가 Treasure Box의 위상을 회복하는 데 도움이 되고자 하는 또 다른 방법은 고객을 위한 수신자 부담 전화번호를 만들고 우편으로 고객의 우려 사항에 응답하는 보다 효율적인 절차를 만드는 것입니다.
개선을 위한 제안 외에도 Albert는 회사의 최근 비즈니스 전략에 대한 자신의 지식이 면접관에게 깊은 인상을 줄 것이라고 믿습니다. 예를 들어, Albert는 앞으로 몇 주 안에 의료 공급 회사를 인수하려는 회사의 의도를 알고 있습니다.
그의 미래 지향적인 사고를 통해 Albert는 자신을 인터뷰할 관리자들에게 자신이 적임자임을 확신시키기를 희망합니다.
회사는 어떤 처리 절차에 대한 Albert의 제안에 따라 고객 기반의 신뢰를 회복하기 시작할 수 있습니까?
다음 질문에 답하려면 다음을 사용하십시오.
Albert는 15년 동안 전 세계적으로 장식용 양초를 판매하던 미국의 우편 주문 회사인 Treasure Box에서 일했지만 최근에는 48개 인접 주의 고객에게만 배송을 제한하기로 결정했습니다. 수년간의 경험에도 불구하고 Albert는 종종 관리직에서 간과됩니다. 승진하지 못하는 것에 대한 좌절감과 함께 개인 정보 보호 문제에 대한 최근 관심은 Albert가 긍정적인 변화를 주도하도록 동기를 부여했습니다.
그는 곧 새로 광고된 직책에 대해 인터뷰할 예정이며 인터뷰 중에 Albert는 경영진에게 회사의 개인 정보 보호 프로그램의 실수를 알릴 계획입니다. 그는 회사의 구식 정책과 절차로 인한 부정적인 결과를 방지하기 위해 승진으로 보상을 받을 것이라고 확신합니다.
예를 들어, Albert는 AICPA(American Institute of Certified Public Accountans)/CICA(Canadian Institute of Chartered Accountants) PMM(Privacy Maturity Model)에 대해 배웠습니다. Albert는 이 모델이 개인 데이터를 보호하는 Treasure Box의 능력을 측정하는 유용한 방법이라고 생각합니다. Albert는 Treasure Box가 이 모델의 최고 수준의 요구 사항을 충족하지 못한다는 것을 알아차렸습니다. 인터뷰에서 Albert는 고객에게 가장 엄격한 보안을 제공하기 위해 회사가 이 수준을 충족하도록 지원하겠다고 약속할 것입니다.
Albert는 인터뷰에서 긍정적인 전망을 보여주고 싶어합니다. 그는 외부 위협으로부터 고객 및 직원 개인 데이터의 보안에 대한 회사의 약속을 칭찬할 예정입니다. 그러나 Albert는 특히 직접 전화 마케팅 분야에서 회사 내 높은 이직률에 대해 걱정하고 있습니다. 그는 마케팅을 하기 위해 고용된 낯선 얼굴들을 매일 많이 보았고, 그는 종종 점심 식당에서 장시간 근무, 낮은 급여, 회사 절차에 대한 노골적인 무시에 대한 불만을 종종 듣습니다.
또한, Treasure Box에는 최근 2건의 보안 사고가 있었습니다. 회사는 내부 감사 및 보안 보호 장치 업데이트를 통해 사고에 대응했습니다. 그러나 이익은 여전히 영향을 받는 것으로 보이며 일화적인 증거에 따르면 많은 사람들이 여전히 불신을 품고 있습니다. Albert는 회사의 회복을 돕고 싶어합니다. 그는 알버트가 세부 사항을 알지 못하지만 대중이 알지 못하는 사건이 적어도 하나는 있다는 것을 알고 있습니다. 그는 사건을 비밀로 유지하려는 회사의 주장이 회사의 명성에 더 큰 손상을 줄 수 있다고 생각합니다. Albert가 Treasure Box의 위상을 회복하는 데 도움이 되고자 하는 또 다른 방법은 고객을 위한 수신자 부담 전화번호를 만들고 우편으로 고객의 우려 사항에 응답하는 보다 효율적인 절차를 만드는 것입니다.
개선을 위한 제안 외에도 Albert는 회사의 최근 비즈니스 전략에 대한 자신의 지식이 면접관에게 깊은 인상을 줄 것이라고 믿습니다. 예를 들어, Albert는 앞으로 몇 주 안에 의료 공급 회사를 인수하려는 회사의 의도를 알고 있습니다.
그의 미래 지향적인 사고를 통해 Albert는 자신을 인터뷰할 관리자들에게 자신이 적임자임을 확신시키기를 희망합니다.
회사는 어떤 처리 절차에 대한 Albert의 제안에 따라 고객 기반의 신뢰를 회복하기 시작할 수 있습니까?
CIPM 문제 12
대본
다음 질문에 답하려면 다음을 사용하십시오.
Consolidated Records Corporation의 데이터 보호 이사로서 귀하는 지금까지의 성과에 대해 상당히 만족하고 있습니다. 귀하의 채용은 쉽게 악화될 수 있는 일련의 비교적 경미한 데이터 침해에 따른 규제 기관의 경고로 인해 촉발되었습니다. 그러나 귀하는 회사에 근무한 3년 동안 보고 대상 사건이 없었습니다. 사실, 데이터 스토리지 업계의 다른 사람들이 자신의 프로그램 개발에서 언급할 수 있는 프로그램 모델을 고려합니다.
당신은 정책과 절차가 뒤죽박죽 섞인 상태에서 Consolidated에서 프로그램을 시작했고 부서와 운영 전반에 걸쳐 일관성을 위해 노력했습니다. 프로그램의 후원자, 운영 담당 부사장, 그리고 변화의 필요성에 대한 명확한 이해에서 출발한 개인 정보 보호 팀의 도움을 받았습니다.
처음에는 경영진과 데이터 작업을 하고 고객과 소통하는 일선 직원들 사이에서 회사의 "오래된 경비원"이 귀하의 작업에 대한 자신감이나 열정이 거의 없었습니다. 발생한 위반 비용뿐만 아니라 현재 운영 상태에서 쉽게 발생할 수 있는 비용 예측을 보여주는 지표를 사용하여 곧 리더와 주요 의사 결정권자가 대부분 귀하의 편에 섰습니다. 다른 많은 직원들은 더 저항했지만, 각 부서와의 대면 회의와 기본 개인 정보 보호 교육 프로그램의 개발로 적절한 절차를 시작하기에 충분한 "승인"을 얻었습니다.
이제 개인 정보 보호는 개인 또는 보호 데이터와 관련된 모든 현재 작업에서 인정되는 구성 요소이며 모든 기술 개발 프로세스의 최종 제품의 일부여야 합니다. 귀하의 접근 방식은 체계적이지 않지만 상당히 효과적입니다.
당신은 다음을 고려하고 있습니다:
프로그램을 유지 관리하고 단순한 데이터 유출 방지 프로그램 이상으로 개발하려면 어떻게 해야 합니까?
어떻게 하면 성공을 기반으로 할 수 있습니까?
다음 조치 단계는 무엇입니까?
프로그램이 개발됨에 따라 프로그램의 재정적 실행 가능성을 추적하기 위해 어떤 분석을 사용할 수 있습니까?
다음 질문에 답하려면 다음을 사용하십시오.
Consolidated Records Corporation의 데이터 보호 이사로서 귀하는 지금까지의 성과에 대해 상당히 만족하고 있습니다. 귀하의 채용은 쉽게 악화될 수 있는 일련의 비교적 경미한 데이터 침해에 따른 규제 기관의 경고로 인해 촉발되었습니다. 그러나 귀하는 회사에 근무한 3년 동안 보고 대상 사건이 없었습니다. 사실, 데이터 스토리지 업계의 다른 사람들이 자신의 프로그램 개발에서 언급할 수 있는 프로그램 모델을 고려합니다.
당신은 정책과 절차가 뒤죽박죽 섞인 상태에서 Consolidated에서 프로그램을 시작했고 부서와 운영 전반에 걸쳐 일관성을 위해 노력했습니다. 프로그램의 후원자, 운영 담당 부사장, 그리고 변화의 필요성에 대한 명확한 이해에서 출발한 개인 정보 보호 팀의 도움을 받았습니다.
처음에는 경영진과 데이터 작업을 하고 고객과 소통하는 일선 직원들 사이에서 회사의 "오래된 경비원"이 귀하의 작업에 대한 자신감이나 열정이 거의 없었습니다. 발생한 위반 비용뿐만 아니라 현재 운영 상태에서 쉽게 발생할 수 있는 비용 예측을 보여주는 지표를 사용하여 곧 리더와 주요 의사 결정권자가 대부분 귀하의 편에 섰습니다. 다른 많은 직원들은 더 저항했지만, 각 부서와의 대면 회의와 기본 개인 정보 보호 교육 프로그램의 개발로 적절한 절차를 시작하기에 충분한 "승인"을 얻었습니다.
이제 개인 정보 보호는 개인 또는 보호 데이터와 관련된 모든 현재 작업에서 인정되는 구성 요소이며 모든 기술 개발 프로세스의 최종 제품의 일부여야 합니다. 귀하의 접근 방식은 체계적이지 않지만 상당히 효과적입니다.
당신은 다음을 고려하고 있습니다:
프로그램을 유지 관리하고 단순한 데이터 유출 방지 프로그램 이상으로 개발하려면 어떻게 해야 합니까?
어떻게 하면 성공을 기반으로 할 수 있습니까?
다음 조치 단계는 무엇입니까?
프로그램이 개발됨에 따라 프로그램의 재정적 실행 가능성을 추적하기 위해 어떤 분석을 사용할 수 있습니까?
CIPM 문제 13
대본
다음 질문에 답하려면 다음을 사용하십시오.
Penny는 최근 온라인으로 가정용품 액세서리를 판매하는 회사인 Ace Space에 새 개인 정보 보호 담당자로 합류했습니다. 이 회사는 캘리포니아에 기반을 두고 있지만 작년에 소셜 미디어 인플루언서의 대대적인 홍보 덕분에 이 회사는 EU로부터 많은 매출을 얻었고 이 확장을 지원하기 위해 아일랜드에 지역 사무소를 설립했습니다. Ace Space의 관행에 익숙해지고 그녀의 개인 정보 보호 우선 순위가 무엇인지 평가하기 위해 Penny는 여러 동료와 회의를 열어 그들이 하고 있는 작업과 준수 노력에 대해 들었습니다.
Penny의 마케팅 동료는 새로운 판매 및 회사의 계획에 흥분하지만 Penny가 계획한 성장 기회 중 일부를 축소할 수도 있다는 점도 우려하고 있습니다. 그는 그녀에게 "회의실에서 누군가 새로운 개인정보 보호법에 대해 이야기하는 것을 들었지만 그것이 우리에게 영향을 미쳤다고 생각하지는 않습니다. 우리는 작은 회사일 뿐입니다. 제 말은 우리가 액세서리를 온라인으로 판매한다는 것입니다. 그렇다면 실제 위험은 무엇입니까?" 그는 또한 자신이 프로젝트를 서둘러 완료하는 데 도움이 되는 여러 소규모 회사와 협력하고 있다고 말했습니다. "우리는 마감일을 맞춰야 합니다. 그렇지 않으면 돈을 잃게 됩니다. 저는 그냥 계약서에 서명하고 Jim이 지불을 완료하도록 재무 부서에 요청하기만 하면 됩니다. 계약서를 검토하는 데는 우리에게 없는 시간이 걸립니다." 그녀는 IT 팀 구성원과의 회의에서 Penny는 Ace Space가 악의적인 활동으로부터 웹사이트를 보호하기 위해 여러 가지 예방 조치를 취했지만 실제 파일이나 내부 인프라에 대해 동일한 수준의 관리를 하지 않는다는 것을 알게 되었습니다. Penny의 IT 동료는 그녀에게 전 직원이 회사를 떠날 때 금융 데이터가 들어 있는 암호화된 USB 키를 분실했다고 말했습니다. 이 회사는 작년에 피싱 공격의 피해자가 된 후 고객 데이터베이스에 거의 액세스할 수 없었습니다. Penny는 IT 동료로부터 IT 팀이 이 회사는 작년에 피싱 공격의 피해자가 된 후 고객 데이터베이스에 거의 액세스할 수 없었습니다. Penny는 IT 동료로부터 IT 팀이 이 회사는 작년에 피싱 공격의 피해자가 된 후 고객 데이터베이스에 거의 액세스할 수 없었습니다. Penny는 IT 동료로부터 IT 팀이
"무엇을 해야 할지, 누가 무엇을 해야 할지 몰랐습니다. 훈련을 받지는 않았지만 작은 팀이기 때문에 결국 잘 되었습니다." Penny는 이러한 문제가 Ace Space의 개인 정보 및 데이터 보호를 손상시킬 수 있다고 우려하고 있습니다.
Penny는 회사가 해외 판매를 늘릴 확실한 계획이 있다는 것을 알고 있으며 CEO와 긴밀히 협력하여 조직에 데이터를 "흔들릴 것"을 제공할 것입니다. 그녀의 임무는 회사 내에서 강력한 개인 정보 보호 문화를 조성하는 것입니다.
Penny는 오늘 Ace Space의 CEO와 회의를 하고 그녀의 첫인상과 그녀의 다음 단계에 대한 개요를 알려달라는 요청을 받았습니다.
Ace Space의 프라이버시 성숙도의 현재 기준을 설정하려면 Penny는 다음 요소를 제외하고 모두 고려해야 합니까?
다음 질문에 답하려면 다음을 사용하십시오.
Penny는 최근 온라인으로 가정용품 액세서리를 판매하는 회사인 Ace Space에 새 개인 정보 보호 담당자로 합류했습니다. 이 회사는 캘리포니아에 기반을 두고 있지만 작년에 소셜 미디어 인플루언서의 대대적인 홍보 덕분에 이 회사는 EU로부터 많은 매출을 얻었고 이 확장을 지원하기 위해 아일랜드에 지역 사무소를 설립했습니다. Ace Space의 관행에 익숙해지고 그녀의 개인 정보 보호 우선 순위가 무엇인지 평가하기 위해 Penny는 여러 동료와 회의를 열어 그들이 하고 있는 작업과 준수 노력에 대해 들었습니다.
Penny의 마케팅 동료는 새로운 판매 및 회사의 계획에 흥분하지만 Penny가 계획한 성장 기회 중 일부를 축소할 수도 있다는 점도 우려하고 있습니다. 그는 그녀에게 "회의실에서 누군가 새로운 개인정보 보호법에 대해 이야기하는 것을 들었지만 그것이 우리에게 영향을 미쳤다고 생각하지는 않습니다. 우리는 작은 회사일 뿐입니다. 제 말은 우리가 액세서리를 온라인으로 판매한다는 것입니다. 그렇다면 실제 위험은 무엇입니까?" 그는 또한 자신이 프로젝트를 서둘러 완료하는 데 도움이 되는 여러 소규모 회사와 협력하고 있다고 말했습니다. "우리는 마감일을 맞춰야 합니다. 그렇지 않으면 돈을 잃게 됩니다. 저는 그냥 계약서에 서명하고 Jim이 지불을 완료하도록 재무 부서에 요청하기만 하면 됩니다. 계약서를 검토하는 데는 우리에게 없는 시간이 걸립니다." 그녀는 IT 팀 구성원과의 회의에서 Penny는 Ace Space가 악의적인 활동으로부터 웹사이트를 보호하기 위해 여러 가지 예방 조치를 취했지만 실제 파일이나 내부 인프라에 대해 동일한 수준의 관리를 하지 않는다는 것을 알게 되었습니다. Penny의 IT 동료는 그녀에게 전 직원이 회사를 떠날 때 금융 데이터가 들어 있는 암호화된 USB 키를 분실했다고 말했습니다. 이 회사는 작년에 피싱 공격의 피해자가 된 후 고객 데이터베이스에 거의 액세스할 수 없었습니다. Penny는 IT 동료로부터 IT 팀이 이 회사는 작년에 피싱 공격의 피해자가 된 후 고객 데이터베이스에 거의 액세스할 수 없었습니다. Penny는 IT 동료로부터 IT 팀이 이 회사는 작년에 피싱 공격의 피해자가 된 후 고객 데이터베이스에 거의 액세스할 수 없었습니다. Penny는 IT 동료로부터 IT 팀이
"무엇을 해야 할지, 누가 무엇을 해야 할지 몰랐습니다. 훈련을 받지는 않았지만 작은 팀이기 때문에 결국 잘 되었습니다." Penny는 이러한 문제가 Ace Space의 개인 정보 및 데이터 보호를 손상시킬 수 있다고 우려하고 있습니다.
Penny는 회사가 해외 판매를 늘릴 확실한 계획이 있다는 것을 알고 있으며 CEO와 긴밀히 협력하여 조직에 데이터를 "흔들릴 것"을 제공할 것입니다. 그녀의 임무는 회사 내에서 강력한 개인 정보 보호 문화를 조성하는 것입니다.
Penny는 오늘 Ace Space의 CEO와 회의를 하고 그녀의 첫인상과 그녀의 다음 단계에 대한 개요를 알려달라는 요청을 받았습니다.
Ace Space의 프라이버시 성숙도의 현재 기준을 설정하려면 Penny는 다음 요소를 제외하고 모두 고려해야 합니까?
CIPM 문제 14
대본
다음 질문에 답하려면 다음을 사용하십시오.
Martin Briseno는 미국 호텔 체인 Pacific Suites의 Canyon City 위치에 있는 인사 책임자입니다. 1998년에 Briseno는 호텔의 현장 멘토링 모델을 라인 위치에서 감독 위치로 승진하는 직원을 위한 표준화된 교육 프로그램으로 변경하기로 결정했습니다. 그는 일련의 수업, 시나리오 및 평가로 구성된 커리큘럼을 개발했으며 이를 소규모 그룹에 직접 전달했습니다. 교육에 대한 관심이 높아짐에 따라 Briseno는 기업 HR 전문가 및 소프트웨어 엔지니어와 협력하여 온라인 형식으로 프로그램을 제공하게 되었습니다. 온라인 프로그램은 트레이너의 비용을 절감하고 참가자가 자신의 속도에 따라 자료를 통해 작업할 수 있습니다.
Briseno 프로그램의 성공에 대한 소식을 듣고 Pacific Suites의 Maryanne Silva-Hayes 부사장은 교육을 확대하여 전사적으로 제공했습니다. 프로그램을 이수한 직원은 Pacific Suites Hospitality Supervisor 인증을 받았습니다. 2001년까지 이 프로그램은 업계 전반에 걸친 교육을 제공하도록 성장했습니다. 전국 호텔 직원은 온라인으로 코스를 수강하기 위해 등록하고 비용을 지불할 수 있습니다.
프로그램의 수익성이 높아짐에 따라 Pacific Suites는 파생 비즈니스인 PHT(Pacific Hospitality Training)를 개발했습니다. PHT의 유일한 초점은 다양한 온라인 코스와 코스 진행 과정을 개발하고 마케팅하여 환대 산업에서 다수의 전문 인증을 제공하는 것이었습니다.
PHT로 사용자 계정을 설정함으로써 과정 참가자는 정보 라이브러리에 액세스하고 과정에 등록하고 과정 종료 인증 테스트를 받을 수 있습니다. 사용자가 새 계정을 만들 때 사용자 이름, 생년월일, 연락처 정보, 신용 카드 정보, 고용주 및 직위를 포함한 모든 정보가 기본적으로 저장되었습니다. 등록 페이지에는 사용자가 신용 카드 번호를 저장하지 않기 위해 클릭할 수 있는 선택 해제 옵션이 제공되었습니다. 사용자 이름과 암호가 설정되면 사용자는 돌아가서 과정 상태를 확인하고 인증을 검토 및 다시 인쇄하고 새 과정에 등록하고 비용을 지불할 수 있습니다. 2002년과
2008년, PHT는 700,000개 이상의 전문 인증을 발행했습니다.
PHT의 이익은 2009년과 2010년에 감소했는데, 이는 산업 규모 축소와 e-러닝 제공업체와의 경쟁 심화로 인한 피해였습니다. 2011년까지 Pacific Suites는 온라인 인증 사업에서 제외되었고 PHT는 해산되었습니다.
교육 프로그램의 시스템과 기록은 액세스 및 사용되지 않은 Pacific Suites의 디지털 아카이브에 남아 있었습니다. Briseno와 Silva-Hayes는 다른 회사로 이직했으며 프로그램 종료 후 아카이브된 데이터를 처리할 계획은 없었습니다. PHT가 해산된 후 Pacific Suites의 경영진은 중요한 일상 업무에 관심을 돌렸습니다. 그들은 자원이 허용되면 PHT 자료를 처리할 계획이었습니다.
2012년 Pacific Suites 컴퓨터 네트워크가 해킹당했습니다. 온라인 예약 시스템에 설치된 악성코드는 수백 명의 호텔 투숙객의 신용카드 정보를 노출시켰습니다. 해커는 예약 사이트의 재무 데이터를 노리는 동안 Pacific Hospitality Training 고객의 보관된 교육 과정 데이터와 등록 계정도 발견했습니다. 해킹의 결과는 최근 호텔 투숙객의 신용 카드 번호 유출과 모든 콘텐츠가 포함된 PHT 데이터베이스 유출이었습니다.
Pacific Suites 시스템 분석가는 활동 보고서를 정기적으로 스캔하는 과정에서 정보 보안 침해를 발견했습니다. Pacific Suites는 심각한 피해를 방지하기 위해 신속하게 신용 카드 회사와 최근 호텔 투숙객에게 위반 사실을 알렸습니다. 기술 보안 엔지니어는 PHT 데이터를 처리하는 데 어려움을 겪었습니다.
PHT 과정 관리자와 IT 엔지니어에게는 정보를 추적, 목록화 및 저장하는 시스템이 없었습니다. Pacific Suites는 데이터 접근 및 저장을 위한 절차가 마련되어 있지만 PHT가 형성될 때 이러한 절차가 구현되지 않았습니다. PHT 데이터베이스가 Pacific Suites에 인수되었을 때 소유자나 감독이 없었습니다. 기술 보안 엔지니어가 어떤 개인 정보가 손상되었는지 확인했을 때 최소 8,000명의 신용 카드 소지자가 사기 행위의 잠재적 희생자였습니다.
Pacific Suites는 어떻게 파생된 PHT의 민감한 정보를 보호해야 합니까?
다음 질문에 답하려면 다음을 사용하십시오.
Martin Briseno는 미국 호텔 체인 Pacific Suites의 Canyon City 위치에 있는 인사 책임자입니다. 1998년에 Briseno는 호텔의 현장 멘토링 모델을 라인 위치에서 감독 위치로 승진하는 직원을 위한 표준화된 교육 프로그램으로 변경하기로 결정했습니다. 그는 일련의 수업, 시나리오 및 평가로 구성된 커리큘럼을 개발했으며 이를 소규모 그룹에 직접 전달했습니다. 교육에 대한 관심이 높아짐에 따라 Briseno는 기업 HR 전문가 및 소프트웨어 엔지니어와 협력하여 온라인 형식으로 프로그램을 제공하게 되었습니다. 온라인 프로그램은 트레이너의 비용을 절감하고 참가자가 자신의 속도에 따라 자료를 통해 작업할 수 있습니다.
Briseno 프로그램의 성공에 대한 소식을 듣고 Pacific Suites의 Maryanne Silva-Hayes 부사장은 교육을 확대하여 전사적으로 제공했습니다. 프로그램을 이수한 직원은 Pacific Suites Hospitality Supervisor 인증을 받았습니다. 2001년까지 이 프로그램은 업계 전반에 걸친 교육을 제공하도록 성장했습니다. 전국 호텔 직원은 온라인으로 코스를 수강하기 위해 등록하고 비용을 지불할 수 있습니다.
프로그램의 수익성이 높아짐에 따라 Pacific Suites는 파생 비즈니스인 PHT(Pacific Hospitality Training)를 개발했습니다. PHT의 유일한 초점은 다양한 온라인 코스와 코스 진행 과정을 개발하고 마케팅하여 환대 산업에서 다수의 전문 인증을 제공하는 것이었습니다.
PHT로 사용자 계정을 설정함으로써 과정 참가자는 정보 라이브러리에 액세스하고 과정에 등록하고 과정 종료 인증 테스트를 받을 수 있습니다. 사용자가 새 계정을 만들 때 사용자 이름, 생년월일, 연락처 정보, 신용 카드 정보, 고용주 및 직위를 포함한 모든 정보가 기본적으로 저장되었습니다. 등록 페이지에는 사용자가 신용 카드 번호를 저장하지 않기 위해 클릭할 수 있는 선택 해제 옵션이 제공되었습니다. 사용자 이름과 암호가 설정되면 사용자는 돌아가서 과정 상태를 확인하고 인증을 검토 및 다시 인쇄하고 새 과정에 등록하고 비용을 지불할 수 있습니다. 2002년과
2008년, PHT는 700,000개 이상의 전문 인증을 발행했습니다.
PHT의 이익은 2009년과 2010년에 감소했는데, 이는 산업 규모 축소와 e-러닝 제공업체와의 경쟁 심화로 인한 피해였습니다. 2011년까지 Pacific Suites는 온라인 인증 사업에서 제외되었고 PHT는 해산되었습니다.
교육 프로그램의 시스템과 기록은 액세스 및 사용되지 않은 Pacific Suites의 디지털 아카이브에 남아 있었습니다. Briseno와 Silva-Hayes는 다른 회사로 이직했으며 프로그램 종료 후 아카이브된 데이터를 처리할 계획은 없었습니다. PHT가 해산된 후 Pacific Suites의 경영진은 중요한 일상 업무에 관심을 돌렸습니다. 그들은 자원이 허용되면 PHT 자료를 처리할 계획이었습니다.
2012년 Pacific Suites 컴퓨터 네트워크가 해킹당했습니다. 온라인 예약 시스템에 설치된 악성코드는 수백 명의 호텔 투숙객의 신용카드 정보를 노출시켰습니다. 해커는 예약 사이트의 재무 데이터를 노리는 동안 Pacific Hospitality Training 고객의 보관된 교육 과정 데이터와 등록 계정도 발견했습니다. 해킹의 결과는 최근 호텔 투숙객의 신용 카드 번호 유출과 모든 콘텐츠가 포함된 PHT 데이터베이스 유출이었습니다.
Pacific Suites 시스템 분석가는 활동 보고서를 정기적으로 스캔하는 과정에서 정보 보안 침해를 발견했습니다. Pacific Suites는 심각한 피해를 방지하기 위해 신속하게 신용 카드 회사와 최근 호텔 투숙객에게 위반 사실을 알렸습니다. 기술 보안 엔지니어는 PHT 데이터를 처리하는 데 어려움을 겪었습니다.
PHT 과정 관리자와 IT 엔지니어에게는 정보를 추적, 목록화 및 저장하는 시스템이 없었습니다. Pacific Suites는 데이터 접근 및 저장을 위한 절차가 마련되어 있지만 PHT가 형성될 때 이러한 절차가 구현되지 않았습니다. PHT 데이터베이스가 Pacific Suites에 인수되었을 때 소유자나 감독이 없었습니다. 기술 보안 엔지니어가 어떤 개인 정보가 손상되었는지 확인했을 때 최소 8,000명의 신용 카드 소지자가 사기 행위의 잠재적 희생자였습니다.
Pacific Suites는 어떻게 파생된 PHT의 민감한 정보를 보호해야 합니까?
CIPM 문제 15
대본
다음 질문에 답하려면 다음을 사용하십시오.
회사의 새로운 CEO인 Thomas Goddard는 데이터 보호 분야의 리더로 알려지기를 원합니다. Goddard는 최근 전 세계 수백만 명의 사용자를 대상으로 하는 온라인 비디오 시청의 선구자인 Hoopy.com의 최고 재무 책임자로 재직했습니다. 불행히도 Hoopy는 개인 데이터를 마케팅 담당자에게 무단으로 판매하는 것을 포함하여 윤리적으로 의심스러운 관행으로 개인 정보 보호 분야에서 악명이 높습니다. Hoopy는 또한 "적절한" 데이터 보호 장치가 마련되어 있다는 회사의 주장에도 불구하고 최소 2백만 개의 신용 카드 번호가 도용된 것으로 생각되어 전 세계적으로 헤드라인을 장식한 신용 카드 데이터 절도의 대상이었습니다. 스캔들은 회사에 영향을 미쳤다' 경쟁자로서의 비즈니스는 유사한 엔터테인먼트 및 미디어 콘텐츠를 제공하면서 향상된 수준의 보호를 빠르게 시장에 출시했습니다. 스캔들이 터진 지 3주 만에 고다드의 멘토인 후피의 설립자이자 CEO인 맥스웰 마틴은 사임해야 했습니다.
그러나 Goddard는 이제 막 시작 단계에 접어든 귀하의 회사 Medialite에서 CEO 자리를 확보하며 자리를 잡은 것 같습니다. 그는 Medialite가 부분적으로 업계 최고의 데이터 보호 표준 및 절차를 기반으로 브랜드를 구축한다는 자신의 비전에 따라 회사 이사회와 투자자를 매각했습니다. 그는 개인 정보 보호 문제에 있어 타락했거나 심지어 불량한 조직의 핵심 부분이었을지 모르지만 이제 그는 개혁되고 개인 정보 보호에 대한 진정한 신자라고 주장합니다. 입사 첫 주에 그는 당신을 사무실로 부르고 당신의 주된 업무 책임은 개인 정보 보호에 대한 그의 비전을 실현하는 것이라고 설명합니다. 그러나 일부 예약도 감지합니다. "우리는 Medialite가 절대적으로 최고의 표준을 갖기를 원합니다."라고 그는 말합니다. "사실로, 저는 우리가 개인 정보 보호 및 데이터 보호 분야의 확실한 업계 리더라고 말할 수 있기를 바랍니다. 그러나 나는 또한 회사 재정의 책임 있는 청지기가 되어야 합니다. 따라서 나는 전반적으로 최상의 솔루션을 원하면서도 비용 효율적이어야 합니다." 당신은 일주일 안에 당신의 권고 사항을 보고하라는 말을 들었습니다. 이 모호한 임무를 맡은 당신은 이미 다음 단계.
Goddard는 새로운 개인 정보 보호 구현과 관련된 비용이 정당한지 여부를 평가하기 위해 어떤 측정 기준을 사용할 수 있습니까?
다음 질문에 답하려면 다음을 사용하십시오.
회사의 새로운 CEO인 Thomas Goddard는 데이터 보호 분야의 리더로 알려지기를 원합니다. Goddard는 최근 전 세계 수백만 명의 사용자를 대상으로 하는 온라인 비디오 시청의 선구자인 Hoopy.com의 최고 재무 책임자로 재직했습니다. 불행히도 Hoopy는 개인 데이터를 마케팅 담당자에게 무단으로 판매하는 것을 포함하여 윤리적으로 의심스러운 관행으로 개인 정보 보호 분야에서 악명이 높습니다. Hoopy는 또한 "적절한" 데이터 보호 장치가 마련되어 있다는 회사의 주장에도 불구하고 최소 2백만 개의 신용 카드 번호가 도용된 것으로 생각되어 전 세계적으로 헤드라인을 장식한 신용 카드 데이터 절도의 대상이었습니다. 스캔들은 회사에 영향을 미쳤다' 경쟁자로서의 비즈니스는 유사한 엔터테인먼트 및 미디어 콘텐츠를 제공하면서 향상된 수준의 보호를 빠르게 시장에 출시했습니다. 스캔들이 터진 지 3주 만에 고다드의 멘토인 후피의 설립자이자 CEO인 맥스웰 마틴은 사임해야 했습니다.
그러나 Goddard는 이제 막 시작 단계에 접어든 귀하의 회사 Medialite에서 CEO 자리를 확보하며 자리를 잡은 것 같습니다. 그는 Medialite가 부분적으로 업계 최고의 데이터 보호 표준 및 절차를 기반으로 브랜드를 구축한다는 자신의 비전에 따라 회사 이사회와 투자자를 매각했습니다. 그는 개인 정보 보호 문제에 있어 타락했거나 심지어 불량한 조직의 핵심 부분이었을지 모르지만 이제 그는 개혁되고 개인 정보 보호에 대한 진정한 신자라고 주장합니다. 입사 첫 주에 그는 당신을 사무실로 부르고 당신의 주된 업무 책임은 개인 정보 보호에 대한 그의 비전을 실현하는 것이라고 설명합니다. 그러나 일부 예약도 감지합니다. "우리는 Medialite가 절대적으로 최고의 표준을 갖기를 원합니다."라고 그는 말합니다. "사실로, 저는 우리가 개인 정보 보호 및 데이터 보호 분야의 확실한 업계 리더라고 말할 수 있기를 바랍니다. 그러나 나는 또한 회사 재정의 책임 있는 청지기가 되어야 합니다. 따라서 나는 전반적으로 최상의 솔루션을 원하면서도 비용 효율적이어야 합니다." 당신은 일주일 안에 당신의 권고 사항을 보고하라는 말을 들었습니다. 이 모호한 임무를 맡은 당신은 이미 다음 단계.
Goddard는 새로운 개인 정보 보호 구현과 관련된 비용이 정당한지 여부를 평가하기 위해 어떤 측정 기준을 사용할 수 있습니까?