CIPM 문제 86
대본
다음 질문에 답하려면 다음을 사용하세요.
Edufox는 유명한 e러닝 소프트웨어 플랫폼 사용자들의 연례 컨벤션을 주최했으며, 시간이 지나면서 대규모 이벤트가 되었습니다. 이 행사는 도심의 대형 컨퍼런스 호텔 중 하나를 가득 채우고 다른 호텔에도 넘쳐나며, 수천 명의 참석자가 3일간의 프레젠테이션, 패널 토론 및 네트워킹을 즐깁니다. 이 컨벤션은 회사의 제품 출시 일정의 중심이며 현재 사용자를 위한 훌륭한 교육 기회입니다. 영업팀은 또한 잠재 고객이 참석하여 다양한 요구 사항을 충족하도록 시스템을 사용자 정의할 수 있는 방법을 더 잘 이해하고 이 시스템을 구매하면 가족처럼 느껴지는 커뮤니티에 가입하는 것이라는 것을 이해하도록 권장합니다.
올해 컨퍼런스는 불과 3주 남았고, 방금 이를 지원하는 새로운 이니셔티브에 대한 소식을 들었습니다. 참석자를 위한 스마트폰 앱입니다. 이 앱은 늦은 등록을 지원하고, 주요 프레젠테이션을 강조하며, 컨퍼런스 프로그램의 모바일 버전을 제공합니다. 또한 주요 지역의 최고의 요리를 제공하는 레스토랑 예약 시스템에 연결됩니다. 개발자인 데이드리 호프만은 "정말 좋을 거예요."라고 말합니다. "실제로 작동하게 된다면요!" 그녀는 긴장해서 웃었지만, 앱을 만드는 데 주어진 시간이 촉박해서 현지 회사에 아웃소싱을 했다고 설명합니다. 그녀는 "젊은이 셋뿐이지만, 훌륭한 일을 해요."라고 말합니다. 그녀는 그들이 만든 다른 앱 몇 가지를 설명합니다. 이 일을 위해 어떻게 선택되었는지 물었을 때, 데이드리는 어깨를 으쓱합니다. "그들이 좋은 일을 해서 선택했어요." 데이드리는 훌륭한 실적을 가진 훌륭한 직원입니다. 그래서 그녀가 이 서두른 프로젝트를 맡게 된 것입니다. 당신은 그녀가 회사의 최선의 이익을 마음에 두고 있다는 것을 확신하고, 그녀가 연기할 수 없는 마감일을 맞춰야 한다는 압박을 받고 있다는 것을 의심하지 않습니다. 그러나 당신은 앱의 개인 데이터 처리와 보안 보호 장치에 대해 우려하고 있습니다. 휴게실에서 점심을 먹으면서, 당신은 그녀에게 그것에 대해 이야기하기 시작하지만, 그녀는 재빨리 당신을 안심시키려 합니다. "당신의 도움으로 우리가 보안 문제를 해결해야 한다면 해결할 수 있을 거라고 확신하지만, 아마도 없을 거예요. 이 사람들은 생계를 위해 앱을 만들고, 무엇을 해야 할지 알고 있어요. 당신은 너무 걱정하지만, 그것이 당신이 당신의 일을 잘하는 이유예요!" 회사 직원들이 새로운 이니셔티브를 개발할 때 개인 정보 보호 책임자를 일상적으로 우회한다는 증거를 봅니다.
이 문제의 범위에 주의를 환기하는 가장 좋은 방법은 무엇입니까?
다음 질문에 답하려면 다음을 사용하세요.
Edufox는 유명한 e러닝 소프트웨어 플랫폼 사용자들의 연례 컨벤션을 주최했으며, 시간이 지나면서 대규모 이벤트가 되었습니다. 이 행사는 도심의 대형 컨퍼런스 호텔 중 하나를 가득 채우고 다른 호텔에도 넘쳐나며, 수천 명의 참석자가 3일간의 프레젠테이션, 패널 토론 및 네트워킹을 즐깁니다. 이 컨벤션은 회사의 제품 출시 일정의 중심이며 현재 사용자를 위한 훌륭한 교육 기회입니다. 영업팀은 또한 잠재 고객이 참석하여 다양한 요구 사항을 충족하도록 시스템을 사용자 정의할 수 있는 방법을 더 잘 이해하고 이 시스템을 구매하면 가족처럼 느껴지는 커뮤니티에 가입하는 것이라는 것을 이해하도록 권장합니다.
올해 컨퍼런스는 불과 3주 남았고, 방금 이를 지원하는 새로운 이니셔티브에 대한 소식을 들었습니다. 참석자를 위한 스마트폰 앱입니다. 이 앱은 늦은 등록을 지원하고, 주요 프레젠테이션을 강조하며, 컨퍼런스 프로그램의 모바일 버전을 제공합니다. 또한 주요 지역의 최고의 요리를 제공하는 레스토랑 예약 시스템에 연결됩니다. 개발자인 데이드리 호프만은 "정말 좋을 거예요."라고 말합니다. "실제로 작동하게 된다면요!" 그녀는 긴장해서 웃었지만, 앱을 만드는 데 주어진 시간이 촉박해서 현지 회사에 아웃소싱을 했다고 설명합니다. 그녀는 "젊은이 셋뿐이지만, 훌륭한 일을 해요."라고 말합니다. 그녀는 그들이 만든 다른 앱 몇 가지를 설명합니다. 이 일을 위해 어떻게 선택되었는지 물었을 때, 데이드리는 어깨를 으쓱합니다. "그들이 좋은 일을 해서 선택했어요." 데이드리는 훌륭한 실적을 가진 훌륭한 직원입니다. 그래서 그녀가 이 서두른 프로젝트를 맡게 된 것입니다. 당신은 그녀가 회사의 최선의 이익을 마음에 두고 있다는 것을 확신하고, 그녀가 연기할 수 없는 마감일을 맞춰야 한다는 압박을 받고 있다는 것을 의심하지 않습니다. 그러나 당신은 앱의 개인 데이터 처리와 보안 보호 장치에 대해 우려하고 있습니다. 휴게실에서 점심을 먹으면서, 당신은 그녀에게 그것에 대해 이야기하기 시작하지만, 그녀는 재빨리 당신을 안심시키려 합니다. "당신의 도움으로 우리가 보안 문제를 해결해야 한다면 해결할 수 있을 거라고 확신하지만, 아마도 없을 거예요. 이 사람들은 생계를 위해 앱을 만들고, 무엇을 해야 할지 알고 있어요. 당신은 너무 걱정하지만, 그것이 당신이 당신의 일을 잘하는 이유예요!" 회사 직원들이 새로운 이니셔티브를 개발할 때 개인 정보 보호 책임자를 일상적으로 우회한다는 증거를 봅니다.
이 문제의 범위에 주의를 환기하는 가장 좋은 방법은 무엇입니까?
CIPM 문제 87
대본
다음 질문에 답하려면 다음을 사용하세요.
Nationwide Grill 레스토랑 체인의 CFO인 나탈리아는 동료 임원들이 그렇게 불안해하는 것을 본 적이 없었습니다. 지난주, 회사에서 사용하는 데이터 처리 회사가 시스템이 해킹당했을 수 있으며 이름, 주소, 생일과 같은 고객 데이터가 손상되었을 수 있다고 보고했습니다. 시도는 실패로 판명되었지만, 이 공포로 인해 Nationwide Grill 임원 몇몇이 오늘 회의에서 회사의 개인 정보 보호 프로그램에 의문을 제기했습니다.
부사장인 앨리스는 이 사건이 소송으로 이어질 수 있으며, Nationwide Grill의 시장 지위를 잠재적으로 손상시킬 수 있다고 말했습니다. 최고정보책임자(CIO) 브렌던은 실제로 침해가 발생했더라도 회사에 대한 소송에서 승소할 가능성은 희박하다고 그녀에게 확신시키려 했습니다. 하지만 앨리스는 여전히 확신하지 못했습니다.
전 CEO이자 현재 수석 고문인 스펜서는 데이터 처리를 위해 계약자를 사용하는 것에 대해 항상 경고했다고 말했습니다. 그는 최소한 고객에게 보안 사고에 대해 알린 것에 대해 계약상 책임을 져야 한다고 주장했습니다. 그의 견해에 따르면 Nationwide Grill은 자신이 일으키지 않은 문제로 회사 이름을 더럽히도록 강요받아서는 안 됩니다.
사업 개발(BD) 임원 중 한 명인 헤일리는 모든 사람에게 이유를 밝히라고 촉구했습니다. 그녀는 "조직의 최선의 노력에도 불구하고 침해는 발생할 수 있습니다."라고 말했습니다. "합리적인 대비가 중요합니다." 그녀는 7년 전 대형 식료품 체인인 팅커튼스가 Nationwide Grill 냉동 저녁 식사를 대량 주문한 후 재무 정보가 유출된 사건을 모든 사람에게 상기시켰습니다. BD에서 오랜 기간 근무한 임원으로서 팅커튼스의 기업 문화에 대한 확고한 이해와 오랜 관계를 통해 구축된 헤일리는 회사의 사고 대응을 성공적으로 관리할 수 있었습니다.
스펜서는 이성적으로 행동한다는 것은 보안을 회사 내 보안 기능에서 처리하도록 허용하는 것을 의미하며, BD 직원이 아니라고 답했습니다. 마찬가지로 인사부(HR)도 사고를 예방하기 위해 직원을 더 잘 교육해야 한다고 그는 말했습니다. 그는 Nationwide Grill 직원들이 회사의 개인정보 보호 프로그램과 관련된 HR과 윤리 부서의 포스터, 이메일, 메모에 압도당하고 있다고 지적했습니다. 정보의 양과 중복으로 인해 종종 완전히 무시됩니다.
스펜서는 "회사는 개인정보 보호 프로그램에 전념하고 모든 직원을 대상으로 한 달에 한 번씩 정기적인 대면 교육을 실시해야 합니다."라고 말했습니다. 앨리스는 이 제안이 선의이기는 하지만 실용적이지 않다고 답했습니다. 많은 지역에서 현지 HR 부서는 교육 일정에 유연성을 가져야 합니다. 나탈리아는 조용히 동의했습니다.
이 시나리오를 기반으로, Nationwide Grill은 회사의 개인정보 보호 프로그램에 대한 직원들의 인식을 높이기 위해 무엇을 해야 할까요?
다음 질문에 답하려면 다음을 사용하세요.
Nationwide Grill 레스토랑 체인의 CFO인 나탈리아는 동료 임원들이 그렇게 불안해하는 것을 본 적이 없었습니다. 지난주, 회사에서 사용하는 데이터 처리 회사가 시스템이 해킹당했을 수 있으며 이름, 주소, 생일과 같은 고객 데이터가 손상되었을 수 있다고 보고했습니다. 시도는 실패로 판명되었지만, 이 공포로 인해 Nationwide Grill 임원 몇몇이 오늘 회의에서 회사의 개인 정보 보호 프로그램에 의문을 제기했습니다.
부사장인 앨리스는 이 사건이 소송으로 이어질 수 있으며, Nationwide Grill의 시장 지위를 잠재적으로 손상시킬 수 있다고 말했습니다. 최고정보책임자(CIO) 브렌던은 실제로 침해가 발생했더라도 회사에 대한 소송에서 승소할 가능성은 희박하다고 그녀에게 확신시키려 했습니다. 하지만 앨리스는 여전히 확신하지 못했습니다.
전 CEO이자 현재 수석 고문인 스펜서는 데이터 처리를 위해 계약자를 사용하는 것에 대해 항상 경고했다고 말했습니다. 그는 최소한 고객에게 보안 사고에 대해 알린 것에 대해 계약상 책임을 져야 한다고 주장했습니다. 그의 견해에 따르면 Nationwide Grill은 자신이 일으키지 않은 문제로 회사 이름을 더럽히도록 강요받아서는 안 됩니다.
사업 개발(BD) 임원 중 한 명인 헤일리는 모든 사람에게 이유를 밝히라고 촉구했습니다. 그녀는 "조직의 최선의 노력에도 불구하고 침해는 발생할 수 있습니다."라고 말했습니다. "합리적인 대비가 중요합니다." 그녀는 7년 전 대형 식료품 체인인 팅커튼스가 Nationwide Grill 냉동 저녁 식사를 대량 주문한 후 재무 정보가 유출된 사건을 모든 사람에게 상기시켰습니다. BD에서 오랜 기간 근무한 임원으로서 팅커튼스의 기업 문화에 대한 확고한 이해와 오랜 관계를 통해 구축된 헤일리는 회사의 사고 대응을 성공적으로 관리할 수 있었습니다.
스펜서는 이성적으로 행동한다는 것은 보안을 회사 내 보안 기능에서 처리하도록 허용하는 것을 의미하며, BD 직원이 아니라고 답했습니다. 마찬가지로 인사부(HR)도 사고를 예방하기 위해 직원을 더 잘 교육해야 한다고 그는 말했습니다. 그는 Nationwide Grill 직원들이 회사의 개인정보 보호 프로그램과 관련된 HR과 윤리 부서의 포스터, 이메일, 메모에 압도당하고 있다고 지적했습니다. 정보의 양과 중복으로 인해 종종 완전히 무시됩니다.
스펜서는 "회사는 개인정보 보호 프로그램에 전념하고 모든 직원을 대상으로 한 달에 한 번씩 정기적인 대면 교육을 실시해야 합니다."라고 말했습니다. 앨리스는 이 제안이 선의이기는 하지만 실용적이지 않다고 답했습니다. 많은 지역에서 현지 HR 부서는 교육 일정에 유연성을 가져야 합니다. 나탈리아는 조용히 동의했습니다.
이 시나리오를 기반으로, Nationwide Grill은 회사의 개인정보 보호 프로그램에 대한 직원들의 인식을 높이기 위해 무엇을 해야 할까요?
CIPM 문제 88
데이터 보호 요구 사항을 "합리화"한다는 것은 무엇을 의미합니까?
CIPM 문제 89
대본
다음 질문에 답하려면 다음을 사용하세요.
최근 InStyte Date Corp에서 개인정보 보호 관리자로 채용되어 InStyle Data Corp가 새로운 데이터 보호법을 준수하도록 지원하게 되었습니다. 이 법률은 기업이 개인 데이터를 보호하기 위해 합리적이고 적절한 보안 조치를 마련해야 한다고 규정하고 있습니다. 해당 명령을 위반하면 엄청난 벌금이 부과되고 입법자들은 새로운 법률을 준수하지 않는 회사를 공격적으로 추적할 것이라고 밝혔습니다.귀하는 보안 관리자를 고용하고 InStyle Data Corp의 현재 상태를 검토하고 회사에 "합리적이고 적절한 보안" 요구 사항을 충족하는 방법을 조언하는 업무를 맡습니다.InStyle Data Corp는 빠르게 성장했지만 데이터 인벤토리를 보관하지 않았거나 데이터 매핑을 완료하지 않았습니다.InStyte Data Corp는 또한 보안 관련 정책을 임시로 개발했으며 많은 정책이 구현되지 않았습니다.InStyle Data Corp의 제품을 만들고 테스트하는 데 참여한 다양한 팀은 상당한 이직률을 경험하고 있으며 역할이 명확하게 정의되어 있지 않습니다.어떤 개인 데이터가 어떤 제품에서 어떤 목적으로 처리되는지 설명하는 문서는 거의 없습니다.법이 발효될 때까지 InStyle Data Corp가 규정을 준수할 수 있도록 이 프로젝트에 대한 작업을 즉시 시작해야 합니다.귀하와 귀하의 파트너는 InStyle Data Corp가 민감한 개인 데이터가 포함된 파일을 이메일을 통해 고객에게 정기적으로 보내고 때로는 InStyle Data Corp 직원의 개인 이메일 계정을 사용한다는 사실을 알게 되었습니다. 또한 InStyle Data Corp의 개인정보 보호 및 정보 보안 팀은 새로운 개인 데이터 흐름, 개인 데이터를 처리하는 InStyle Data Corp의 새로운 제품 개발, 개인 데이터 처리 내용이나 방법을 변경할 수 있는 기존 InStyle Data Corp 제품의 업데이트에 대해 제품이나 업데이트가 출시되기 전까지 알리지 않습니다.
InStyle Date Corp의 테스트 및 개발 환경 로그를 검토하면 InStyle Data Corp가 때때로 요청하는 InStyle Data Corp 직원이나 계약자에게 로그인 자격 증명을 제공한다는 것을 알 수 있습니다. 테스트 환경에는 더미 데이터만 있지만 개발 환경에는 사회보장번호, 가정정보 및 재무 정보를 포함한 개인 데이터가 있습니다. 모든 자격 증명이 있는 InStyle Data Corp 직원과 계약자는 역할이나 작업 중인 프로젝트에 관계없이 두 환경 모두에서 개인 데이터를 추적하고 삭제할 수 있습니다.
귀하와 귀하의 파트너는 발견한 문제점과 권장 시정 조치, 구현 측정 방법을 인용하여 갭 평가를 제공합니다. InStyle Data Corp는 권장되는 보안 제어를 모두 구현합니다. 귀하는 모든 단계에서 개인 데이터를 적절하게 보호하기 위해 수행된 프로세스, 역할, 제어 및 조치를 검토합니다. 그러나 귀하는 모니터링 계획이 없고 업데이트된 정책 및 절차 위반에 대한 제재를 다루는 내용이 전혀 없다는 것을 깨닫습니다. InStyle Data Corp는 이러한 모니터링을 위한 리소스가 없다고 주장하며 반발합니다.
갭 평가를 완료한 후, 귀하와 파트너는 먼저 다음 사항에 대한 철저한 검토를 실시해야 합니까?
다음 질문에 답하려면 다음을 사용하세요.
최근 InStyte Date Corp에서 개인정보 보호 관리자로 채용되어 InStyle Data Corp가 새로운 데이터 보호법을 준수하도록 지원하게 되었습니다. 이 법률은 기업이 개인 데이터를 보호하기 위해 합리적이고 적절한 보안 조치를 마련해야 한다고 규정하고 있습니다. 해당 명령을 위반하면 엄청난 벌금이 부과되고 입법자들은 새로운 법률을 준수하지 않는 회사를 공격적으로 추적할 것이라고 밝혔습니다.귀하는 보안 관리자를 고용하고 InStyle Data Corp의 현재 상태를 검토하고 회사에 "합리적이고 적절한 보안" 요구 사항을 충족하는 방법을 조언하는 업무를 맡습니다.InStyle Data Corp는 빠르게 성장했지만 데이터 인벤토리를 보관하지 않았거나 데이터 매핑을 완료하지 않았습니다.InStyte Data Corp는 또한 보안 관련 정책을 임시로 개발했으며 많은 정책이 구현되지 않았습니다.InStyle Data Corp의 제품을 만들고 테스트하는 데 참여한 다양한 팀은 상당한 이직률을 경험하고 있으며 역할이 명확하게 정의되어 있지 않습니다.어떤 개인 데이터가 어떤 제품에서 어떤 목적으로 처리되는지 설명하는 문서는 거의 없습니다.법이 발효될 때까지 InStyle Data Corp가 규정을 준수할 수 있도록 이 프로젝트에 대한 작업을 즉시 시작해야 합니다.귀하와 귀하의 파트너는 InStyle Data Corp가 민감한 개인 데이터가 포함된 파일을 이메일을 통해 고객에게 정기적으로 보내고 때로는 InStyle Data Corp 직원의 개인 이메일 계정을 사용한다는 사실을 알게 되었습니다. 또한 InStyle Data Corp의 개인정보 보호 및 정보 보안 팀은 새로운 개인 데이터 흐름, 개인 데이터를 처리하는 InStyle Data Corp의 새로운 제품 개발, 개인 데이터 처리 내용이나 방법을 변경할 수 있는 기존 InStyle Data Corp 제품의 업데이트에 대해 제품이나 업데이트가 출시되기 전까지 알리지 않습니다.
InStyle Date Corp의 테스트 및 개발 환경 로그를 검토하면 InStyle Data Corp가 때때로 요청하는 InStyle Data Corp 직원이나 계약자에게 로그인 자격 증명을 제공한다는 것을 알 수 있습니다. 테스트 환경에는 더미 데이터만 있지만 개발 환경에는 사회보장번호, 가정정보 및 재무 정보를 포함한 개인 데이터가 있습니다. 모든 자격 증명이 있는 InStyle Data Corp 직원과 계약자는 역할이나 작업 중인 프로젝트에 관계없이 두 환경 모두에서 개인 데이터를 추적하고 삭제할 수 있습니다.
귀하와 귀하의 파트너는 발견한 문제점과 권장 시정 조치, 구현 측정 방법을 인용하여 갭 평가를 제공합니다. InStyle Data Corp는 권장되는 보안 제어를 모두 구현합니다. 귀하는 모든 단계에서 개인 데이터를 적절하게 보호하기 위해 수행된 프로세스, 역할, 제어 및 조치를 검토합니다. 그러나 귀하는 모니터링 계획이 없고 업데이트된 정책 및 절차 위반에 대한 제재를 다루는 내용이 전혀 없다는 것을 깨닫습니다. InStyle Data Corp는 이러한 모니터링을 위한 리소스가 없다고 주장하며 반발합니다.
갭 평가를 완료한 후, 귀하와 파트너는 먼저 다음 사항에 대한 철저한 검토를 실시해야 합니까?
CIPM 문제 90
아시아태평양 경제협력체 개인정보 보호 프레임워크의 주요 기능은 무엇입니까?