CIPM 문제 91
대본
다음 질문에 답하려면 다음을 사용하세요.
페니는 최근 홈웨어 액세서리를 온라인으로 판매하는 회사인 에이스 스페이스에 새로운 개인정보 보호 책임자로 합류했습니다. 이 회사는 캘리포니아에 본사가 있지만 작년에 소셜 미디어 인플루언서의 훌륭한 홍보 덕분에 EU에서 매출이 급증했고 이 확장을 지원하기 위해 아일랜드에 지역 사무소를 설립했습니다. 페니는 에이스 스페이스의 관행을 익히고 개인정보 보호 우선순위가 무엇인지 평가하기 위해 여러 동료와 회의를 열어 그들이 수행한 작업과 규정 준수 노력에 대해 들었습니다.
마케팅 부서의 페니의 동료는 새로운 매출과 회사의 계획에 들떠 있지만, 페니가 자신이 계획한 성장 기회 중 일부를 축소할까봐 걱정하기도 합니다. 그는 그녀에게 "휴게실에서 누군가 새로운 개인정보 보호법에 대해 이야기하는 걸 들었는데, 그게 우리에게 영향을 미칠 것 같지는 않아요. 우리는 그저 작은 회사일 뿐이에요. 온라인에서 액세서리만 판매하고 있으니까, 진짜 위험은 뭐죠?"라고 말합니다. 그는 또한 서둘러 프로젝트를 완료하도록 도와주는 여러 소규모 회사와 협력한다고 말했습니다. "마감일을 맞춰야 해요. 그렇지 않으면 돈을 잃게 되거든요. 저는 그저 계약서에 서명하고 재무 부서의 짐에게 지불을 강행하라고 할 뿐입니다. 계약서를 검토하는 데는 시간이 들 뿐인데, 우리에게는 시간이 없거든요." IT 팀원과 회의를 하면서 페니는 Ace Space가 웹사이트를 악성 활동으로부터 보호하기 위해 여러 가지 예방 조치를 취했지만, 물리적 파일이나 내부 인프라에는 같은 수준의 주의를 기울이지 않았다는 사실을 알게 되었습니다. IT 부서의 페니의 동료는 전직 직원이 퇴사할 때 재무 데이터가 담긴 암호화된 USB 키를 분실했다고 말했습니다. 회사는 작년에 피싱 공격을 받은 후 고객 데이터베이스에 거의 접근할 수 없게 되었습니다. 페니는 IT 동료로부터 IT 팀이 "무엇을 해야 할지 또는 누가 무엇을 해야 할지 몰랐습니다. 우리는 이에 대한 교육을 받지 못했지만 우리는 소규모 팀이기 때문에 결국에는 잘 풀렸습니다."라는 말을 들었습니다. 페니는 이러한 문제로 인해 Ace Space의 개인 정보 보호 및 데이터 보호가 침해될까 걱정합니다.
페니는 회사가 해외 판매를 확대할 확고한 계획을 가지고 있다는 것을 알고 있으며 CEO와 긴밀히 협력하여 조직에 데이터를 "개선"할 것입니다. 그녀의 사명은 회사 내에서 강력한 프라이버시 문화를 육성하는 것입니다.
페니는 오늘 에이스 스페이스 CEO와 회의를 갖고 첫인상과 다음 단계에 대한 개요를 말해 달라는 요청을 받았습니다.
페니와 그녀의 CEO가 목표를 달성하도록 돕기 위해 그녀의 IT 문제를 해결하는 가장 유용한 방법은 무엇일까요?
다음 질문에 답하려면 다음을 사용하세요.
페니는 최근 홈웨어 액세서리를 온라인으로 판매하는 회사인 에이스 스페이스에 새로운 개인정보 보호 책임자로 합류했습니다. 이 회사는 캘리포니아에 본사가 있지만 작년에 소셜 미디어 인플루언서의 훌륭한 홍보 덕분에 EU에서 매출이 급증했고 이 확장을 지원하기 위해 아일랜드에 지역 사무소를 설립했습니다. 페니는 에이스 스페이스의 관행을 익히고 개인정보 보호 우선순위가 무엇인지 평가하기 위해 여러 동료와 회의를 열어 그들이 수행한 작업과 규정 준수 노력에 대해 들었습니다.
마케팅 부서의 페니의 동료는 새로운 매출과 회사의 계획에 들떠 있지만, 페니가 자신이 계획한 성장 기회 중 일부를 축소할까봐 걱정하기도 합니다. 그는 그녀에게 "휴게실에서 누군가 새로운 개인정보 보호법에 대해 이야기하는 걸 들었는데, 그게 우리에게 영향을 미칠 것 같지는 않아요. 우리는 그저 작은 회사일 뿐이에요. 온라인에서 액세서리만 판매하고 있으니까, 진짜 위험은 뭐죠?"라고 말합니다. 그는 또한 서둘러 프로젝트를 완료하도록 도와주는 여러 소규모 회사와 협력한다고 말했습니다. "마감일을 맞춰야 해요. 그렇지 않으면 돈을 잃게 되거든요. 저는 그저 계약서에 서명하고 재무 부서의 짐에게 지불을 강행하라고 할 뿐입니다. 계약서를 검토하는 데는 시간이 들 뿐인데, 우리에게는 시간이 없거든요." IT 팀원과 회의를 하면서 페니는 Ace Space가 웹사이트를 악성 활동으로부터 보호하기 위해 여러 가지 예방 조치를 취했지만, 물리적 파일이나 내부 인프라에는 같은 수준의 주의를 기울이지 않았다는 사실을 알게 되었습니다. IT 부서의 페니의 동료는 전직 직원이 퇴사할 때 재무 데이터가 담긴 암호화된 USB 키를 분실했다고 말했습니다. 회사는 작년에 피싱 공격을 받은 후 고객 데이터베이스에 거의 접근할 수 없게 되었습니다. 페니는 IT 동료로부터 IT 팀이 "무엇을 해야 할지 또는 누가 무엇을 해야 할지 몰랐습니다. 우리는 이에 대한 교육을 받지 못했지만 우리는 소규모 팀이기 때문에 결국에는 잘 풀렸습니다."라는 말을 들었습니다. 페니는 이러한 문제로 인해 Ace Space의 개인 정보 보호 및 데이터 보호가 침해될까 걱정합니다.
페니는 회사가 해외 판매를 확대할 확고한 계획을 가지고 있다는 것을 알고 있으며 CEO와 긴밀히 협력하여 조직에 데이터를 "개선"할 것입니다. 그녀의 사명은 회사 내에서 강력한 프라이버시 문화를 육성하는 것입니다.
페니는 오늘 에이스 스페이스 CEO와 회의를 갖고 첫인상과 다음 단계에 대한 개요를 말해 달라는 요청을 받았습니다.
페니와 그녀의 CEO가 목표를 달성하도록 돕기 위해 그녀의 IT 문제를 해결하는 가장 유용한 방법은 무엇일까요?
CIPM 문제 92
대본
다음 질문에 답하려면 다음을 사용하세요.
당신은 유럽과 아메리카 전역의 여러 국가에 거주하는 개인의 정보를 처리하는 회사의 개인정보 보호 사무소를 이끌고 있습니다. 계약 담당자가 전화를 요청하는 메시지를 보내면서 그날 아침 개인정보 보호 검토를 시작합니다. 메시지에는 명확성과 세부 사항이 없지만 데이터가 손실되었을 것으로 추정합니다.
계약 담당자에게 연락하면 그는 공급업체에서 우편으로 보낸 편지를 받았는데, 공급업체가 고객에 대한 정보를 부적절하게 공유했다는 내용이었습니다. 그는 공급업체에 전화를 걸어 귀사가 최근 2,000명의 개인을 대상으로 가장 최근의 건강 관리 경험에 대한 설문 조사를 실시했으며 해당 설문 조사를 공급업체에 보내 데이터베이스에 기록하도록 했지만 공급업체는 계약서에 약속한 대로 데이터베이스를 암호화하는 것을 잊었습니다. 그 결과 공급업체는 데이터에 대한 통제권을 잃었습니다.
공급업체는 매우 사과하며 알림을 보내는 책임을 지겠다고 제안합니다. 그들은 2000장의 우표가 붙은 엽서를 따로 보관해 두었다고 말하는데, 그 이유는 우편으로 알림을 받는 데 걸리는 시간을 줄여야 하기 때문입니다. 한 면은 로고로 제한되어 있지만 다른 면은 비어 있고 원하는 대로 쓰면 됩니다. 당신은 그들의 제안을 보류하고 공간 제약을 중심으로 텍스트를 개발하기 시작합니다. 당신은 공급업체의 로고가 알림과 연관되도록 하는 데 만족합니다.
알림에는 귀사가 최근 세인트 세바스찬 병원 감염병 클리닉에서의 가장 최근 경험에 대한 정보를 저장하기 위해 공급업체를 고용했다고 설명되어 있습니다. 공급업체는 정보를 암호화하지 않았으며 더 이상 이를 제어할 수 없습니다. 영향을 받은 2000명의 모든 개인은 정보에 대한 이메일 알림에 가입하도록 초대됩니다. 그들은 귀사 웹사이트로 가서 간단한 광고를 본 다음 이름, 이메일 주소, 생년월일을 입력하기만 하면 됩니다.
오전 9시 전에 사건 대응 위원회에 이메일을 보내 동의를 구합니다. 이 상황에서 문제가 발생하면 동료들에게 책임을 분산시키고 싶을 것입니다. 그 후 8시간 동안 모든 사람이 서로에게 의견을 이메일로 주고받습니다. 사건 대응 팀을 이끄는 컨설턴트는 회사에 처음 온 날이지만 다른 업계에서 45년을 일해 왔고 최선을 다할 것이라고 말합니다. 위원회에 있는 세 명의 변호사 중 한 명이 대화의 방향을 틀게 하지만 결국 다시 원래대로 돌아갑니다. 하루가 끝나고 그들은 당신이 쓴 알림을 진행하고 공급업체의 엽서를 사용하기로 투표합니다.
공급업체가 엽서를 보낸 직후, 데이터가 도난당한 서버에 있었다는 사실을 알게 되고 회사에서 신용 모니터링 서비스를 제공하기로 결정했습니다. 간단한 인터넷 검색을 통해 Credit Under Lock and Key(CRUDLOK)라는 설득력 있는 이름의 신용 모니터링 회사를 찾았습니다. 영업 담당자는 2,000명의 계약을 처리한 적이 없지만, 하루 만에 CRUDLOK이 다음을 제공한다는 제안을 개발했습니다.
1. 계약서에 서명한 다음 날 모든 사람에게 등록 초대장을 보냅니다.
2. 이름과 국민식별번호의 마지막 4자리만으로 누군가를 등록합니다.
3. 등록일로부터 2년 동안 각 등록자의 학점을 모니터링합니다.
4. 매월 신용 등급과 시장 가격으로 신용 관련 서비스를 제공하겠다는 내용을 담은 이메일을 보냅니다.
5. 신용 복구 비용의 20%를 회사에 청구하세요.
당신은 계약을 이행하고 등록 초대장은 2000명의 개인에게 이메일로 전송됩니다. 3일 후에 당신은 앉아서 잘 된 모든 것과 더 잘 될 수 있었던 모든 것을 문서화합니다. 다음에 사고가 발생할 때 참조할 수 있도록 파일에 넣습니다.
사건의 다음 요소 중 어떤 부분을 적절하게 판단하셨나요?
다음 질문에 답하려면 다음을 사용하세요.
당신은 유럽과 아메리카 전역의 여러 국가에 거주하는 개인의 정보를 처리하는 회사의 개인정보 보호 사무소를 이끌고 있습니다. 계약 담당자가 전화를 요청하는 메시지를 보내면서 그날 아침 개인정보 보호 검토를 시작합니다. 메시지에는 명확성과 세부 사항이 없지만 데이터가 손실되었을 것으로 추정합니다.
계약 담당자에게 연락하면 그는 공급업체에서 우편으로 보낸 편지를 받았는데, 공급업체가 고객에 대한 정보를 부적절하게 공유했다는 내용이었습니다. 그는 공급업체에 전화를 걸어 귀사가 최근 2,000명의 개인을 대상으로 가장 최근의 건강 관리 경험에 대한 설문 조사를 실시했으며 해당 설문 조사를 공급업체에 보내 데이터베이스에 기록하도록 했지만 공급업체는 계약서에 약속한 대로 데이터베이스를 암호화하는 것을 잊었습니다. 그 결과 공급업체는 데이터에 대한 통제권을 잃었습니다.
공급업체는 매우 사과하며 알림을 보내는 책임을 지겠다고 제안합니다. 그들은 2000장의 우표가 붙은 엽서를 따로 보관해 두었다고 말하는데, 그 이유는 우편으로 알림을 받는 데 걸리는 시간을 줄여야 하기 때문입니다. 한 면은 로고로 제한되어 있지만 다른 면은 비어 있고 원하는 대로 쓰면 됩니다. 당신은 그들의 제안을 보류하고 공간 제약을 중심으로 텍스트를 개발하기 시작합니다. 당신은 공급업체의 로고가 알림과 연관되도록 하는 데 만족합니다.
알림에는 귀사가 최근 세인트 세바스찬 병원 감염병 클리닉에서의 가장 최근 경험에 대한 정보를 저장하기 위해 공급업체를 고용했다고 설명되어 있습니다. 공급업체는 정보를 암호화하지 않았으며 더 이상 이를 제어할 수 없습니다. 영향을 받은 2000명의 모든 개인은 정보에 대한 이메일 알림에 가입하도록 초대됩니다. 그들은 귀사 웹사이트로 가서 간단한 광고를 본 다음 이름, 이메일 주소, 생년월일을 입력하기만 하면 됩니다.
오전 9시 전에 사건 대응 위원회에 이메일을 보내 동의를 구합니다. 이 상황에서 문제가 발생하면 동료들에게 책임을 분산시키고 싶을 것입니다. 그 후 8시간 동안 모든 사람이 서로에게 의견을 이메일로 주고받습니다. 사건 대응 팀을 이끄는 컨설턴트는 회사에 처음 온 날이지만 다른 업계에서 45년을 일해 왔고 최선을 다할 것이라고 말합니다. 위원회에 있는 세 명의 변호사 중 한 명이 대화의 방향을 틀게 하지만 결국 다시 원래대로 돌아갑니다. 하루가 끝나고 그들은 당신이 쓴 알림을 진행하고 공급업체의 엽서를 사용하기로 투표합니다.
공급업체가 엽서를 보낸 직후, 데이터가 도난당한 서버에 있었다는 사실을 알게 되고 회사에서 신용 모니터링 서비스를 제공하기로 결정했습니다. 간단한 인터넷 검색을 통해 Credit Under Lock and Key(CRUDLOK)라는 설득력 있는 이름의 신용 모니터링 회사를 찾았습니다. 영업 담당자는 2,000명의 계약을 처리한 적이 없지만, 하루 만에 CRUDLOK이 다음을 제공한다는 제안을 개발했습니다.
1. 계약서에 서명한 다음 날 모든 사람에게 등록 초대장을 보냅니다.
2. 이름과 국민식별번호의 마지막 4자리만으로 누군가를 등록합니다.
3. 등록일로부터 2년 동안 각 등록자의 학점을 모니터링합니다.
4. 매월 신용 등급과 시장 가격으로 신용 관련 서비스를 제공하겠다는 내용을 담은 이메일을 보냅니다.
5. 신용 복구 비용의 20%를 회사에 청구하세요.
당신은 계약을 이행하고 등록 초대장은 2000명의 개인에게 이메일로 전송됩니다. 3일 후에 당신은 앉아서 잘 된 모든 것과 더 잘 될 수 있었던 모든 것을 문서화합니다. 다음에 사고가 발생할 때 참조할 수 있도록 파일에 넣습니다.
사건의 다음 요소 중 어떤 부분을 적절하게 판단하셨나요?
CIPM 문제 93
데이터 침해를 겪은 조직의 경우, 회사의 개인정보 보호 및 거버넌스 팀에 가장 관련성이 낮은 지표는 무엇일까요?
CIPM 문제 94
다음 중 구속력 있는 기업 규칙(BCR)을 사용하는 국제 기구가 통제자 또는 처리자로서 적절한 준수 사항을 가장 잘 설명하는 것은 무엇입니까?
CIPM 문제 95
데이터 보호 영향 평가(DPIA)를 실시하기 위한 최소 요구 사항은 무엇입니까?