CIPM 문제 41
일반 데이터 보호 규정(GDPR)에 따르면, 어떤 상황에서 데이터 보호 영향 평가(DPIA)가 필요할 가능성이 가장 낮을까요?
CIPM 문제 42
아래 문서 중 어떤 문서가 개인이 조직에서 어떤 개인 정보를 보유하고 있는지, 그리고 해당 정보가 누구와 공유되는지에 대한 요청을 할 때 개인 정보 관리자를 식별하고 대응하는 데 도움이 됩니까?
CIPM 문제 43
인수 과정에서 실사를 수행할 때, 개인정보 보호 전문가는 무엇을 피해야 할까요?
CIPM 문제 44
대본
다음 질문에 답하려면 다음을 사용하세요.
Consolidated Records Corporation의 데이터 보호 책임자로서, 지금까지의 성과에 당연히 만족하고 계십니다. 비교적 경미한 일련의 데이터 유출 사고 이후 규제 기관의 경고를 받고 채용이 결정되었는데, 이 사고들은 더 심각해질 수도 있었습니다. 하지만 회사에 근무한 지 3년 동안 보고해야 할 사고는 단 한 건도 발생하지 않았습니다. 실제로, 귀하의 프로그램은 데이터 저장 업계의 다른 기업들이 자체 프로그램 개발에 참고할 만한 모범 사례라고 생각하십니다.
Consolidated에서 프로그램을 시작할 당시, 정책과 절차가 뒤죽박죽 섞여 있었고 부서 간, 그리고 운영 전반에 걸쳐 일관성을 유지해 나가기 위해 노력하셨습니다. 프로그램 후원자인 운영 부사장과 변화의 필요성을 명확히 이해하고 시작한 개인정보보호팀의 도움을 받았습니다.
처음에는 경영진과 데이터 및 고객 접점을 담당하는 일선 직원들로 구성된 회사의 "구세대"들이 당신의 업무를 신뢰하거나 열광적으로 받아들이지 않았습니다. 하지만 발생한 보안 침해로 인한 비용뿐만 아니라 현재 운영 상황을 고려할 때 발생할 수 있는 비용 예측까지 보여주는 지표를 활용함으로써, 곧 경영진과 주요 의사 결정권자들의 지지를 얻게 되었습니다. 다른 직원들은 다소 저항적이었지만, 각 부서와의 대면 회의와 기본 개인정보 보호 교육 프로그램 개발을 통해 적절한 절차를 구축할 수 있는 충분한 "동의"를 얻었습니다.
이제 개인정보 보호는 개인 정보 또는 보호되는 데이터와 관련된 모든 현행 운영에서 허용되는 요소이며, 모든 기술 개발 과정의 최종 결과물에 반드시 포함되어야 합니다. 귀하의 접근 방식이 체계적이지는 않지만, 상당히 효과적입니다.
당신은 다음과 같은 생각을 하게 됩니다.
이 프로그램을 유지하고 단순한 데이터 유출 방지 프로그램을 넘어 더욱 발전시키려면 어떻게 해야 할까요? 성공을 어떻게 발전시킬 수 있을까요?
다음 조치 단계는 무엇입니까?
프로그램이 개발됨에 따라 재정적 실행 가능성을 추적하는 데 어떤 분석을 사용할 수 있습니까?
다음 질문에 답하려면 다음을 사용하세요.
Consolidated Records Corporation의 데이터 보호 책임자로서, 지금까지의 성과에 당연히 만족하고 계십니다. 비교적 경미한 일련의 데이터 유출 사고 이후 규제 기관의 경고를 받고 채용이 결정되었는데, 이 사고들은 더 심각해질 수도 있었습니다. 하지만 회사에 근무한 지 3년 동안 보고해야 할 사고는 단 한 건도 발생하지 않았습니다. 실제로, 귀하의 프로그램은 데이터 저장 업계의 다른 기업들이 자체 프로그램 개발에 참고할 만한 모범 사례라고 생각하십니다.
Consolidated에서 프로그램을 시작할 당시, 정책과 절차가 뒤죽박죽 섞여 있었고 부서 간, 그리고 운영 전반에 걸쳐 일관성을 유지해 나가기 위해 노력하셨습니다. 프로그램 후원자인 운영 부사장과 변화의 필요성을 명확히 이해하고 시작한 개인정보보호팀의 도움을 받았습니다.
처음에는 경영진과 데이터 및 고객 접점을 담당하는 일선 직원들로 구성된 회사의 "구세대"들이 당신의 업무를 신뢰하거나 열광적으로 받아들이지 않았습니다. 하지만 발생한 보안 침해로 인한 비용뿐만 아니라 현재 운영 상황을 고려할 때 발생할 수 있는 비용 예측까지 보여주는 지표를 활용함으로써, 곧 경영진과 주요 의사 결정권자들의 지지를 얻게 되었습니다. 다른 직원들은 다소 저항적이었지만, 각 부서와의 대면 회의와 기본 개인정보 보호 교육 프로그램 개발을 통해 적절한 절차를 구축할 수 있는 충분한 "동의"를 얻었습니다.
이제 개인정보 보호는 개인 정보 또는 보호되는 데이터와 관련된 모든 현행 운영에서 허용되는 요소이며, 모든 기술 개발 과정의 최종 결과물에 반드시 포함되어야 합니다. 귀하의 접근 방식이 체계적이지는 않지만, 상당히 효과적입니다.
당신은 다음과 같은 생각을 하게 됩니다.
이 프로그램을 유지하고 단순한 데이터 유출 방지 프로그램을 넘어 더욱 발전시키려면 어떻게 해야 할까요? 성공을 어떻게 발전시킬 수 있을까요?
다음 조치 단계는 무엇입니까?
프로그램이 개발됨에 따라 재정적 실행 가능성을 추적하는 데 어떤 분석을 사용할 수 있습니까?
CIPM 문제 45
SCENARIO
Please use the following to answer the next QUESTION:
You lead the privacy office for a company that handles information from individuals living in several countries throughout Europe and the Americas. You begin that morning's privacy review when a contracts officer sends you a message asking for a phone call. The message lacks clarity and detail, but you presume that data was lost.
계약 담당자에게 연락하니, 공급업체로부터 고객 정보를 부적절하게 공유했다는 내용의 편지를 우편으로 받았다고 합니다. 담당자는 공급업체에 전화를 걸어 귀사가 최근 2,000명을 대상으로 최근 의료 서비스 경험에 대한 설문조사를 실시하여 해당 설문조사 결과를 공급업체에 보내 데이터베이스에 저장하도록 했지만, 공급업체는 계약서에 약속된 대로 데이터베이스 암호화를 하지 않았습니다. 결과적으로 공급업체는 데이터 통제권을 상실했습니다.
공급업체는 매우 사과하며 알림 발송을 책임지겠다고 합니다. 2,000장의 우표가 붙은 엽서를 따로 준비해 두면 우편으로 알림을 받는 데 걸리는 시간이 단축될 것이라고 합니다. 한 면에는 로고만 있고, 다른 면은 빈칸으로 되어 있어서 원하는 대로 써도 된다고 합니다. 제안을 보류하고 공간 제약을 고려하여 텍스트를 작성하기 시작합니다. 공급업체 로고가 알림과 함께 표시되는 것에 만족합니다.
이 알림에는 귀사가 최근 세인트 세바스찬 병원 감염병 클리닉에서의 최근 경험에 대한 정보를 저장하기 위해 업체를 고용했다는 내용이 포함되어 있습니다. 해당 업체는 정보를 암호화하지 않았으며 더 이상 통제할 수 없습니다. 영향을 받은 2,000명 전원에게 정보 관련 이메일 알림 수신을 신청해 주시기 바랍니다. 귀사 웹사이트에 접속하여 간단한 광고를 시청한 후 이름, 이메일 주소, 생년월일을 입력하시면 됩니다.
오전 9시 전에 사고 대응 위원회에 이메일을 보내 협조를 구합니다. 이 상황에서 문제가 발생하면 동료들에게 책임을 분산시키고 싶을 것입니다. 그 후 8시간 동안 모든 사람이 이메일을 주고받습니다. 사고 대응 팀을 이끄는 컨설턴트는 오늘이 회사에 첫 출근이지만 45년 동안 다른 업계에 종사해 왔기에 최선을 다하겠다고 말합니다. 위원회에 있는 세 명의 변호사 중 한 명 때문에 대화가 엉뚱한 방향으로 흘러가지만, 결국 다시 원래대로 돌아갑니다. 결국 그들은 당신이 작성한 통지문을 사용하고 공급업체의 엽서를 사용하기로 투표합니다.
공급업체가 엽서를 발송한 직후, 데이터가 도난당한 서버에 있었다는 사실을 알게 되고, 회사에서 신용 모니터링 서비스를 제공하기로 결정했습니다. 인터넷 검색을 통해 CRUDLOK(Credit Under Lock and Key)라는 그럴듯한 이름의 신용 모니터링 회사를 찾았습니다. 영업 담당자는 2,000명 규모의 계약을 처리해 본 경험이 없지만, 약 하루 만에 CRUDLOK을 통해 다음과 같은 혜택을 누릴 수 있다는 제안서를 작성했습니다.
1. 계약서에 서명한 다음 날 모든 사람에게 등록 초대장을 보냅니다.
2. 이름과 국민식별번호의 마지막 4자리만 사용하여 누군가를 등록합니다.
3. 등록일로부터 2년 동안 각 등록자의 신용을 모니터링합니다.
4. 신용 등급과 시장 금리로 신용 관련 서비스를 제공하는 내용을 담은 이메일을 매달 보냅니다.
5. 신용 회복 비용의 20%를 회사에 청구하세요.
계약을 체결하고 2,000명에게 등록 초대장을 이메일로 발송합니다. 3일 후, 잘 진행된 모든 사항과 개선할 수 있었던 사항을 기록합니다. 다음에 사고가 발생할 때 참고할 수 있도록 파일에 저장합니다.
위 사건 중에 다음 중 어떤 것이 올바르게 수행되었습니까?
Please use the following to answer the next QUESTION:
You lead the privacy office for a company that handles information from individuals living in several countries throughout Europe and the Americas. You begin that morning's privacy review when a contracts officer sends you a message asking for a phone call. The message lacks clarity and detail, but you presume that data was lost.
계약 담당자에게 연락하니, 공급업체로부터 고객 정보를 부적절하게 공유했다는 내용의 편지를 우편으로 받았다고 합니다. 담당자는 공급업체에 전화를 걸어 귀사가 최근 2,000명을 대상으로 최근 의료 서비스 경험에 대한 설문조사를 실시하여 해당 설문조사 결과를 공급업체에 보내 데이터베이스에 저장하도록 했지만, 공급업체는 계약서에 약속된 대로 데이터베이스 암호화를 하지 않았습니다. 결과적으로 공급업체는 데이터 통제권을 상실했습니다.
공급업체는 매우 사과하며 알림 발송을 책임지겠다고 합니다. 2,000장의 우표가 붙은 엽서를 따로 준비해 두면 우편으로 알림을 받는 데 걸리는 시간이 단축될 것이라고 합니다. 한 면에는 로고만 있고, 다른 면은 빈칸으로 되어 있어서 원하는 대로 써도 된다고 합니다. 제안을 보류하고 공간 제약을 고려하여 텍스트를 작성하기 시작합니다. 공급업체 로고가 알림과 함께 표시되는 것에 만족합니다.
이 알림에는 귀사가 최근 세인트 세바스찬 병원 감염병 클리닉에서의 최근 경험에 대한 정보를 저장하기 위해 업체를 고용했다는 내용이 포함되어 있습니다. 해당 업체는 정보를 암호화하지 않았으며 더 이상 통제할 수 없습니다. 영향을 받은 2,000명 전원에게 정보 관련 이메일 알림 수신을 신청해 주시기 바랍니다. 귀사 웹사이트에 접속하여 간단한 광고를 시청한 후 이름, 이메일 주소, 생년월일을 입력하시면 됩니다.
오전 9시 전에 사고 대응 위원회에 이메일을 보내 협조를 구합니다. 이 상황에서 문제가 발생하면 동료들에게 책임을 분산시키고 싶을 것입니다. 그 후 8시간 동안 모든 사람이 이메일을 주고받습니다. 사고 대응 팀을 이끄는 컨설턴트는 오늘이 회사에 첫 출근이지만 45년 동안 다른 업계에 종사해 왔기에 최선을 다하겠다고 말합니다. 위원회에 있는 세 명의 변호사 중 한 명 때문에 대화가 엉뚱한 방향으로 흘러가지만, 결국 다시 원래대로 돌아갑니다. 결국 그들은 당신이 작성한 통지문을 사용하고 공급업체의 엽서를 사용하기로 투표합니다.
공급업체가 엽서를 발송한 직후, 데이터가 도난당한 서버에 있었다는 사실을 알게 되고, 회사에서 신용 모니터링 서비스를 제공하기로 결정했습니다. 인터넷 검색을 통해 CRUDLOK(Credit Under Lock and Key)라는 그럴듯한 이름의 신용 모니터링 회사를 찾았습니다. 영업 담당자는 2,000명 규모의 계약을 처리해 본 경험이 없지만, 약 하루 만에 CRUDLOK을 통해 다음과 같은 혜택을 누릴 수 있다는 제안서를 작성했습니다.
1. 계약서에 서명한 다음 날 모든 사람에게 등록 초대장을 보냅니다.
2. 이름과 국민식별번호의 마지막 4자리만 사용하여 누군가를 등록합니다.
3. 등록일로부터 2년 동안 각 등록자의 신용을 모니터링합니다.
4. 신용 등급과 시장 금리로 신용 관련 서비스를 제공하는 내용을 담은 이메일을 매달 보냅니다.
5. 신용 회복 비용의 20%를 회사에 청구하세요.
계약을 체결하고 2,000명에게 등록 초대장을 이메일로 발송합니다. 3일 후, 잘 진행된 모든 사항과 개선할 수 있었던 사항을 기록합니다. 다음에 사고가 발생할 때 참고할 수 있도록 파일에 저장합니다.
위 사건 중에 다음 중 어떤 것이 올바르게 수행되었습니까?