CIPM 문제 26
규제 요구 사항 및 비즈니스 관행 외에도 글로벌 개인 정보 보호 전략에서 고려해야 할 중요한 요소는 무엇입니까?
CIPM 문제 27
네트워크 및 스토리지의 약점을 신속하게 식별하는 데 가장 도움이 되는 것은 무엇입니까?
CIPM 문제 28
대본
다음 질문에 답하려면 다음을 사용하십시오.
유럽과 미주 전역의 여러 국가에 거주하는 개인의 정보를 처리하는 회사의 개인 정보 보호 사무소를 이끌고 있습니다. 계약 담당자가 전화를 요청하는 메시지를 보내면 그날 아침의 개인 정보 보호 검토가 시작됩니다. 메시지에 명확성과 세부 사항이 부족하지만 데이터가 손실되었다고 가정합니다.
계약 담당자에게 연락하면 공급업체가 고객에 대한 정보를 부적절하게 공유했다는 내용의 편지를 공급업체로부터 우편으로 받았다고 합니다. 그는 공급업체에 전화를 걸어 최근 귀하의 회사에서 가장 최근의 의료 경험에 대해 정확히 2000명의 개인을 설문 조사했으며 해당 설문 조사를 공급업체에 보내 데이터베이스에 기록했지만 공급업체가 계약에서 약속한 대로 데이터베이스를 암호화하는 것을 잊었다고 확인했습니다. 결과적으로 공급업체는 데이터에 대한 통제력을 상실했습니다.
공급업체는 매우 죄송하며 알림 발송에 대한 책임을 진다고 제안합니다. 그들은 우편으로 통지를 받는 데 걸리는 시간을 줄여야 하기 때문에 2000장의 우표가 찍힌 엽서를 따로 보관했다고 말합니다. 한 면은 로고로 제한되어 있지만 다른 면은 비어 있으며 원하는 내용을 모두 수용합니다. 당신은 그들의 제안을 보류하고 공간 제약에 대한 텍스트를 개발하기 시작합니다. 공급업체의 로고가 알림과 연결되도록 하는 데 만족합니다.
통지에서는 귀사가 최근 St. Sebastian Hospital's Clinic for Infectious Diseases에서의 가장 최근 경험에 대한 정보를 저장할 공급업체를 고용했다고 설명합니다. 공급업체는 정보를 암호화하지 않았으며 더 이상 정보를 제어할 수 없습니다. 영향을 받는 2000명의 모든 개인은 자신의 정보에 대한 이메일 알림에 가입하도록 초대됩니다. 그들은 단순히 회사 웹사이트로 이동하여 간단한 광고를 본 다음 이름, 이메일 주소, 생년월일을 제공하기만 하면 됩니다.
오전 9시 이전에 사고 대응 위원회에 이메일로 동의를 요청합니다. 이 상황에서 문제가 발생하면 동료들에게 책임을 분산시키고 싶습니다. 앞으로 8시간 동안 모든 사람이 자신의 의견을 이메일로 주고 받습니다. 사고대응팀을 이끄는 컨설턴트는 입사 첫 날이지만 45년 동안 타 업종에 몸담아온 만큼 최선을 다할 것이라고 말한다. 위원회의 세 변호사 중 한 명은 대화를 방향에서 벗어나게 만들지만 결국에는 원래대로 돌아갑니다. 하루가 끝나면 그들은 귀하가 작성한 알림을 계속 진행하고 공급업체의 엽서를 사용하도록 투표합니다.
공급업체가 엽서를 발송한 직후 데이터가 도난당한 서버에 있다는 사실을 알게 되고 회사에서 신용 모니터링 서비스를 제공하도록 결정합니다. 빠른 인터넷 검색을 통해 CRUDLOK(Credit Under Lock and Key)라는 이름의 신용 모니터링 회사를 찾을 수 있습니다. 귀하의 영업 담당자는 2000명에 대한 계약을 처리한 적이 없지만 CRUDLOK이 다음과 같이 할 것이라는 제안을 하루 만에 개발합니다.
1. 계약서에 서명한 다음날 모든 사람에게 등록 초대장을 보냅니다.
2. 이름과 주민등록번호의 4자리만 있는 사람을 등록합니다.
3. 등록일로부터 2년 동안 각 등록자의 신용을 모니터링합니다.
4. 신용등급과 신용관련 서비스를 시장금리로 제안하는 월간 이메일을 보냅니다.
5. 신용 회복 비용의 20%를 회사에 청구하십시오.
계약을 실행하면 등록 초대가 2000명의 개인에게 이메일로 전송됩니다. 3일 후에 당신은 앉아서 잘 된 모든 것과 더 나아질 수 있었던 모든 것을 문서화합니다. 다음에 인시던트가 발생할 때 참조할 수 있도록 파일에 저장합니다.
다음 중 위의 사건에서 올바르게 수행된 것은 무엇입니까?
다음 질문에 답하려면 다음을 사용하십시오.
유럽과 미주 전역의 여러 국가에 거주하는 개인의 정보를 처리하는 회사의 개인 정보 보호 사무소를 이끌고 있습니다. 계약 담당자가 전화를 요청하는 메시지를 보내면 그날 아침의 개인 정보 보호 검토가 시작됩니다. 메시지에 명확성과 세부 사항이 부족하지만 데이터가 손실되었다고 가정합니다.
계약 담당자에게 연락하면 공급업체가 고객에 대한 정보를 부적절하게 공유했다는 내용의 편지를 공급업체로부터 우편으로 받았다고 합니다. 그는 공급업체에 전화를 걸어 최근 귀하의 회사에서 가장 최근의 의료 경험에 대해 정확히 2000명의 개인을 설문 조사했으며 해당 설문 조사를 공급업체에 보내 데이터베이스에 기록했지만 공급업체가 계약에서 약속한 대로 데이터베이스를 암호화하는 것을 잊었다고 확인했습니다. 결과적으로 공급업체는 데이터에 대한 통제력을 상실했습니다.
공급업체는 매우 죄송하며 알림 발송에 대한 책임을 진다고 제안합니다. 그들은 우편으로 통지를 받는 데 걸리는 시간을 줄여야 하기 때문에 2000장의 우표가 찍힌 엽서를 따로 보관했다고 말합니다. 한 면은 로고로 제한되어 있지만 다른 면은 비어 있으며 원하는 내용을 모두 수용합니다. 당신은 그들의 제안을 보류하고 공간 제약에 대한 텍스트를 개발하기 시작합니다. 공급업체의 로고가 알림과 연결되도록 하는 데 만족합니다.
통지에서는 귀사가 최근 St. Sebastian Hospital's Clinic for Infectious Diseases에서의 가장 최근 경험에 대한 정보를 저장할 공급업체를 고용했다고 설명합니다. 공급업체는 정보를 암호화하지 않았으며 더 이상 정보를 제어할 수 없습니다. 영향을 받는 2000명의 모든 개인은 자신의 정보에 대한 이메일 알림에 가입하도록 초대됩니다. 그들은 단순히 회사 웹사이트로 이동하여 간단한 광고를 본 다음 이름, 이메일 주소, 생년월일을 제공하기만 하면 됩니다.
오전 9시 이전에 사고 대응 위원회에 이메일로 동의를 요청합니다. 이 상황에서 문제가 발생하면 동료들에게 책임을 분산시키고 싶습니다. 앞으로 8시간 동안 모든 사람이 자신의 의견을 이메일로 주고 받습니다. 사고대응팀을 이끄는 컨설턴트는 입사 첫 날이지만 45년 동안 타 업종에 몸담아온 만큼 최선을 다할 것이라고 말한다. 위원회의 세 변호사 중 한 명은 대화를 방향에서 벗어나게 만들지만 결국에는 원래대로 돌아갑니다. 하루가 끝나면 그들은 귀하가 작성한 알림을 계속 진행하고 공급업체의 엽서를 사용하도록 투표합니다.
공급업체가 엽서를 발송한 직후 데이터가 도난당한 서버에 있다는 사실을 알게 되고 회사에서 신용 모니터링 서비스를 제공하도록 결정합니다. 빠른 인터넷 검색을 통해 CRUDLOK(Credit Under Lock and Key)라는 이름의 신용 모니터링 회사를 찾을 수 있습니다. 귀하의 영업 담당자는 2000명에 대한 계약을 처리한 적이 없지만 CRUDLOK이 다음과 같이 할 것이라는 제안을 하루 만에 개발합니다.
1. 계약서에 서명한 다음날 모든 사람에게 등록 초대장을 보냅니다.
2. 이름과 주민등록번호의 4자리만 있는 사람을 등록합니다.
3. 등록일로부터 2년 동안 각 등록자의 신용을 모니터링합니다.
4. 신용등급과 신용관련 서비스를 시장금리로 제안하는 월간 이메일을 보냅니다.
5. 신용 회복 비용의 20%를 회사에 청구하십시오.
계약을 실행하면 등록 초대가 2000명의 개인에게 이메일로 전송됩니다. 3일 후에 당신은 앉아서 잘 된 모든 것과 더 나아질 수 있었던 모든 것을 문서화합니다. 다음에 인시던트가 발생할 때 참조할 수 있도록 파일에 저장합니다.
다음 중 위의 사건에서 올바르게 수행된 것은 무엇입니까?
CIPM 문제 29
대본
다음 질문에 답하려면 다음을 사용하십시오.
귀하의 조직인 시카고(미국)에 기반을 둔 Society for Urban Greenspace는 몇 년 동안 동일한 공급업체를 사용하여 온라인 상점의 모든 측면을 운영해 왔습니다. 소규모 비영리 단체인 Society는 더 높은 가격의 옵션을 감당할 수 없지만 이 예산 공급업체인 SCS(Shopping Cart Saver)에 비교적 만족하고 있습니다. 예, 몇 가지 문제가 있었습니다. 두 번, 상점에서 상품을 구매한 사람들이 귀하의 사이트에서 거래한 후 신용 카드 정보를 부정하게 사용했지만, 두 경우 모두 조사에서 협회의 상점이 해킹당했다는 확실하게 밝혀지지 않았습니다. 절도는 직원과 관련된 것일 수 있습니다.
당혹스러운 것은 SCS가 고객으로부터 수집한 정보를 제3자에게 판매했다는 사실을 조직에서 발견한 사건이었습니다. 그러나 귀하의 SCS 계정 담당자인 Jason Roland가 지적한 바와 같이 귀하의 기대치를 명확히 하기 위해 전화 한 통만 걸렸으며 "오해"가 다시 발생하지 않았습니다.
협회의 정보 기술 프로그램 관리자로서 개인 정보 보호 전문가의 역할은 귀하가 하는 많은 일 중 하나일 뿐입니다. 그러나 모든 문제에서 재정적 수익을 고려해야 합니다. 개인 정보 보호에 대한 이러한 문제가 상당했지만 매장에서 셔츠 및 커피 컵과 같은 품목 판매의 추가 수익은 상당했습니다. 협회의 운영 예산은 적으며 모든 수입원이 필수적입니다.
이제 새로운 도전이 생겼습니다. Jason은 2주 후부터 매장의 고객 데이터가 이제 데이터 클라우드에 저장될 것이라고 전화했습니다. "좋은 소식은 데이터도 보관할 수 있는 핀란드에서 저렴한 제공업체를 찾았다는 것입니다. 따라서 귀하에게 전달해야 할 약간의 요금이 있을 수 있지만 특히 클라우드의 이점을 고려하면 엄청나게 많습니다." 최근에 여러분은 클라우드 컴퓨팅에 대해 많이 들었고 이것이 다양한 애플리케이션의 새로운 패러다임으로 빠르게 자리잡고 있음을 알고 있습니다. 그러나 개인 정보 보호에 대한 잠재적인 영향에 대해 엇갈린 평가를 들었습니다. 연구를 시작하고 많은 주요 클라우드 서비스 제공업체가 개인 정보 보호를 위한 공유 규약 및 기술에 대해 협력하기로 하는 의향서에 서명했음을 발견합니다.
공급업체의 데이터 보안 보호 장치에 대한 질문에 가장 잘 대답할 수 있는 프로세스는 무엇입니까?
다음 질문에 답하려면 다음을 사용하십시오.
귀하의 조직인 시카고(미국)에 기반을 둔 Society for Urban Greenspace는 몇 년 동안 동일한 공급업체를 사용하여 온라인 상점의 모든 측면을 운영해 왔습니다. 소규모 비영리 단체인 Society는 더 높은 가격의 옵션을 감당할 수 없지만 이 예산 공급업체인 SCS(Shopping Cart Saver)에 비교적 만족하고 있습니다. 예, 몇 가지 문제가 있었습니다. 두 번, 상점에서 상품을 구매한 사람들이 귀하의 사이트에서 거래한 후 신용 카드 정보를 부정하게 사용했지만, 두 경우 모두 조사에서 협회의 상점이 해킹당했다는 확실하게 밝혀지지 않았습니다. 절도는 직원과 관련된 것일 수 있습니다.
당혹스러운 것은 SCS가 고객으로부터 수집한 정보를 제3자에게 판매했다는 사실을 조직에서 발견한 사건이었습니다. 그러나 귀하의 SCS 계정 담당자인 Jason Roland가 지적한 바와 같이 귀하의 기대치를 명확히 하기 위해 전화 한 통만 걸렸으며 "오해"가 다시 발생하지 않았습니다.
협회의 정보 기술 프로그램 관리자로서 개인 정보 보호 전문가의 역할은 귀하가 하는 많은 일 중 하나일 뿐입니다. 그러나 모든 문제에서 재정적 수익을 고려해야 합니다. 개인 정보 보호에 대한 이러한 문제가 상당했지만 매장에서 셔츠 및 커피 컵과 같은 품목 판매의 추가 수익은 상당했습니다. 협회의 운영 예산은 적으며 모든 수입원이 필수적입니다.
이제 새로운 도전이 생겼습니다. Jason은 2주 후부터 매장의 고객 데이터가 이제 데이터 클라우드에 저장될 것이라고 전화했습니다. "좋은 소식은 데이터도 보관할 수 있는 핀란드에서 저렴한 제공업체를 찾았다는 것입니다. 따라서 귀하에게 전달해야 할 약간의 요금이 있을 수 있지만 특히 클라우드의 이점을 고려하면 엄청나게 많습니다." 최근에 여러분은 클라우드 컴퓨팅에 대해 많이 들었고 이것이 다양한 애플리케이션의 새로운 패러다임으로 빠르게 자리잡고 있음을 알고 있습니다. 그러나 개인 정보 보호에 대한 잠재적인 영향에 대해 엇갈린 평가를 들었습니다. 연구를 시작하고 많은 주요 클라우드 서비스 제공업체가 개인 정보 보호를 위한 공유 규약 및 기술에 대해 협력하기로 하는 의향서에 서명했음을 발견합니다.
공급업체의 데이터 보안 보호 장치에 대한 질문에 가장 잘 대답할 수 있는 프로세스는 무엇입니까?
CIPM 문제 30
대본
다음 질문에 답하려면 다음을 사용하십시오.
Amira는 NatGen의 갑작스러운 확장에 흥분합니다. Amira는 오랜 비즈니스 파트너인 Sadie와 공동 최고 경영자(CEO)로서 회사가 녹색 에너지 시장에서 주요 경쟁자로 성장하는 것을 지켜보았습니다. 현재 제품 라인에는 풍력 터빈, 태양 에너지 패널 및 지열 시스템용 장비가 포함됩니다. 재능 있는 개발자 팀은 NatGen의 제품 라인이 계속해서 성장할 것임을 의미합니다.
확장과 함께 Amira와 Sadie는 회사의 성장을 관리하는 데 도움이 되는 새로운 고위 직원들로부터 조언을 받았습니다. 최근 제안 중 하나는 회사의 법률 및 보안 기능을 결합하여 개인 정보 보호법과 회사 자체 개인 정보 보호 정책을 준수하도록 하는 것이었습니다. 부서에서 필요에 가장 적합한 방식으로 고객 데이터를 사용, 수집, 저장 및 폐기할 수 있기를 원하는 Amira에게는 이것이 지나치게 복잡하게 들립니다. 그녀는 관리 감독과 복잡한 구조가 사람들이 혁신적인 작업을 수행하는 데 방해가 되는 것을 원하지 않습니다.
Sadie도 비슷한 전망을 가지고 있습니다. 새 CIO(최고 정보 책임자)는 Sadie가 생각하는 새로운 개인 정보 보호 프로그램 설계를 위한 불필요하게 긴 일정을 제안했습니다. 그녀는 NatGen이 고객 및 직원 데이터의 전자 저장을 위해 가능한 최고의 장비를 사용할 것이라고 확신했습니다. 그녀는 단순히 장비 목록과 비용 견적이 필요합니다. 그러나 CIO는 회사가 그 단계에 도달하기 전에 많은 문제를 고려해야 한다고 주장합니다.
그럼에도 불구하고 Sadie와 Amira는 직원들에게 업무를 수행할 수 있는 공간을 제공해야 한다고 주장합니다. 두 CEO 모두 직원 정책 준수 모니터링을 하위 관리자에게 위임하기를 원합니다. Amira와 Sadie는 이러한 관리자가 특정 부서에 가장 적합한 방법에 따라 회사 개인 정보 보호 정책을 조정할 수 있다고 믿습니다. NatGen의 CEO는 데이터가 항상 정상적인 비즈니스 활동 과정에서 사용되는 한 녹색 에너지를 촉진한다는 명목으로 개인 정보 보호 정책을 유연하게 해석하여 고객 기반에 문제를 제기할 가능성이 매우 낮다는 것을 알고 있습니다.
Sadie와 Amira에게 가장 당혹스러웠던 것은 아마도 개인 정보 보호 규정 준수 핫라인을 개설하라는 CIO의 권고였을 것입니다. Sadie와 Amira는 이 점에 대해 뉘우쳤지만 직원들이 교대로 개인 정보 보호 정책 위반 보고서를 처리하도록 허용함으로써 타협하기를 희망합니다. 직원들이 특별한 준비가 필요하지 않기 때문에 구현이 쉬울 것입니다. 그들은 단순히 그들이 듣는 모든 우려 사항을 문서화해야 합니다.
Sadie와 Amira는 원칙에 충실하고 창의성과 직원 사기를 저해하는 기업 문화를 경계하는 것이 어려울 것이라는 점을 알고 있습니다. 그들은 모든 고위 직원이 독특한 접근 방식을 시도하는 이점을 보기를 바랍니다.
회사의 개인 정보 보호 정책 준수에 대한 Amira와 Sadie의 아이디어가 확인되지 않으면 FCC(연방 통신 위원회)는 잠재적으로 NatGen에 대해 조치를 취할 수 있습니다.
다음 질문에 답하려면 다음을 사용하십시오.
Amira는 NatGen의 갑작스러운 확장에 흥분합니다. Amira는 오랜 비즈니스 파트너인 Sadie와 공동 최고 경영자(CEO)로서 회사가 녹색 에너지 시장에서 주요 경쟁자로 성장하는 것을 지켜보았습니다. 현재 제품 라인에는 풍력 터빈, 태양 에너지 패널 및 지열 시스템용 장비가 포함됩니다. 재능 있는 개발자 팀은 NatGen의 제품 라인이 계속해서 성장할 것임을 의미합니다.
확장과 함께 Amira와 Sadie는 회사의 성장을 관리하는 데 도움이 되는 새로운 고위 직원들로부터 조언을 받았습니다. 최근 제안 중 하나는 회사의 법률 및 보안 기능을 결합하여 개인 정보 보호법과 회사 자체 개인 정보 보호 정책을 준수하도록 하는 것이었습니다. 부서에서 필요에 가장 적합한 방식으로 고객 데이터를 사용, 수집, 저장 및 폐기할 수 있기를 원하는 Amira에게는 이것이 지나치게 복잡하게 들립니다. 그녀는 관리 감독과 복잡한 구조가 사람들이 혁신적인 작업을 수행하는 데 방해가 되는 것을 원하지 않습니다.
Sadie도 비슷한 전망을 가지고 있습니다. 새 CIO(최고 정보 책임자)는 Sadie가 생각하는 새로운 개인 정보 보호 프로그램 설계를 위한 불필요하게 긴 일정을 제안했습니다. 그녀는 NatGen이 고객 및 직원 데이터의 전자 저장을 위해 가능한 최고의 장비를 사용할 것이라고 확신했습니다. 그녀는 단순히 장비 목록과 비용 견적이 필요합니다. 그러나 CIO는 회사가 그 단계에 도달하기 전에 많은 문제를 고려해야 한다고 주장합니다.
그럼에도 불구하고 Sadie와 Amira는 직원들에게 업무를 수행할 수 있는 공간을 제공해야 한다고 주장합니다. 두 CEO 모두 직원 정책 준수 모니터링을 하위 관리자에게 위임하기를 원합니다. Amira와 Sadie는 이러한 관리자가 특정 부서에 가장 적합한 방법에 따라 회사 개인 정보 보호 정책을 조정할 수 있다고 믿습니다. NatGen의 CEO는 데이터가 항상 정상적인 비즈니스 활동 과정에서 사용되는 한 녹색 에너지를 촉진한다는 명목으로 개인 정보 보호 정책을 유연하게 해석하여 고객 기반에 문제를 제기할 가능성이 매우 낮다는 것을 알고 있습니다.
Sadie와 Amira에게 가장 당혹스러웠던 것은 아마도 개인 정보 보호 규정 준수 핫라인을 개설하라는 CIO의 권고였을 것입니다. Sadie와 Amira는 이 점에 대해 뉘우쳤지만 직원들이 교대로 개인 정보 보호 정책 위반 보고서를 처리하도록 허용함으로써 타협하기를 희망합니다. 직원들이 특별한 준비가 필요하지 않기 때문에 구현이 쉬울 것입니다. 그들은 단순히 그들이 듣는 모든 우려 사항을 문서화해야 합니다.
Sadie와 Amira는 원칙에 충실하고 창의성과 직원 사기를 저해하는 기업 문화를 경계하는 것이 어려울 것이라는 점을 알고 있습니다. 그들은 모든 고위 직원이 독특한 접근 방식을 시도하는 이점을 보기를 바랍니다.
회사의 개인 정보 보호 정책 준수에 대한 Amira와 Sadie의 아이디어가 확인되지 않으면 FCC(연방 통신 위원회)는 잠재적으로 NatGen에 대해 조치를 취할 수 있습니다.