CIPM 문제 61
일반 데이터 보호 규정(GDPR)은 특정 위반 행위에 대해 데이터 관리자에게 부과될 수 있는 벌금을 명시하고 있습니다. 다음 중 최대 1,000만 유로의 행정 벌금이 부과되거나, 사업체의 경우 직전 회계연도의 전 세계 연간 총 매출액의 최대 2%까지 부과되는 것은 무엇입니까?
CIPM 문제 62
대본
다음 질문에 답하려면 다음을 사용하세요.
리처드 맥아담스는 최근 법학대학원을 졸업하고 버지니아주 렉싱턴이라는 작은 마을로 돌아가 연로하신 할아버지의 법률 사무소를 돕기로 했습니다. 아버지 맥아담스는 손자가 완전히 은퇴하면 결국 그 자리를 이어받게 되기를 바라며, 사무소에서 제한적이고 가벼운 역할을 맡고 싶어 했습니다. 맥아담스 씨는 리처드 외에도 두 명의 법률 보조원, 행정 보조원, 그리고 기본적인 네트워킹 업무를 담당하는 파트타임 IT 전문가를 고용하고 있습니다. 리처드가 자리를 잡고 사무소의 성장 전략을 평가하면 더 많은 직원을 채용할 계획입니다.
리처드는 도착하자마자 사무실 현대화를 위해 해야 할 일의 양에 깜짝 놀랐습니다. 특히 고객 개인 정보 처리와 관련된 일들이 많았습니다. 그의 첫 번째 목표는 파일 캐비닛에 보관된 모든 기록을 디지털화하는 것입니다. 많은 문서에 개인 식별이 가능한 재무 및 의료 정보가 포함되어 있기 때문입니다. 또한, 리처드는 행정 비서가 하루 종일 엄청난 양의 복사 작업을 한다는 것을 알게 되었습니다. 이러한 관행은 파일 캐비닛의 파일 수를 매일 증가시킬 뿐만 아니라, 공식적인 정책이 확립되지 않으면 보안 문제를 야기할 수 있습니다. 리처드는 또한 건물을 자주 이용하는 고객들이 쉽게 볼 수 있는 공용 복사기/프린터의 과도한 사용에 대해서도 우려하고 있습니다. 또 다른 우려 사항은 모든 직원이 동일한 팩스기를 사용하는 것입니다. 리처드는 개인 정보의 보안과 보호를 극대화하기 위해 팩스 사용을 대폭 줄이고, 연말까지 엄격한 인터넷 팩스 정책을 도입할 계획입니다.
리처드는 할아버지께 우려를 표했고, 할아버지께서는 데이터 저장소 업데이트, 데이터 보안, 그리고 모든 측면에서 개인 정보 보호를 강화하는 전반적인 접근 방식이 필요하다는 데 동의하셨습니다. 맥아담스 씨는 리처드에게 그렇게 할 수 있는 자유와 권한을 부여했습니다. 이제 리처드는 변호사로서의 경력을 시작할 뿐만 아니라, 이 소규모 로펌의 개인정보보호책임자 역할도 맡고 있습니다. 리처드는 다음 날 IT 직원을 만나 현재 사무실 컴퓨터 시스템의 설정 및 관리 방식에 대한 정보를 얻을 계획입니다.
리차드는 데이터 수명 주기 관리(DLM)에 대해 더 많이 조사하기 시작하면서, 법률 사무소가 데이터 침해 위험을 낮추기 위해 무엇을 할 수 있는지 알아냈습니다.
다음 질문에 답하려면 다음을 사용하세요.
리처드 맥아담스는 최근 법학대학원을 졸업하고 버지니아주 렉싱턴이라는 작은 마을로 돌아가 연로하신 할아버지의 법률 사무소를 돕기로 했습니다. 아버지 맥아담스는 손자가 완전히 은퇴하면 결국 그 자리를 이어받게 되기를 바라며, 사무소에서 제한적이고 가벼운 역할을 맡고 싶어 했습니다. 맥아담스 씨는 리처드 외에도 두 명의 법률 보조원, 행정 보조원, 그리고 기본적인 네트워킹 업무를 담당하는 파트타임 IT 전문가를 고용하고 있습니다. 리처드가 자리를 잡고 사무소의 성장 전략을 평가하면 더 많은 직원을 채용할 계획입니다.
리처드는 도착하자마자 사무실 현대화를 위해 해야 할 일의 양에 깜짝 놀랐습니다. 특히 고객 개인 정보 처리와 관련된 일들이 많았습니다. 그의 첫 번째 목표는 파일 캐비닛에 보관된 모든 기록을 디지털화하는 것입니다. 많은 문서에 개인 식별이 가능한 재무 및 의료 정보가 포함되어 있기 때문입니다. 또한, 리처드는 행정 비서가 하루 종일 엄청난 양의 복사 작업을 한다는 것을 알게 되었습니다. 이러한 관행은 파일 캐비닛의 파일 수를 매일 증가시킬 뿐만 아니라, 공식적인 정책이 확립되지 않으면 보안 문제를 야기할 수 있습니다. 리처드는 또한 건물을 자주 이용하는 고객들이 쉽게 볼 수 있는 공용 복사기/프린터의 과도한 사용에 대해서도 우려하고 있습니다. 또 다른 우려 사항은 모든 직원이 동일한 팩스기를 사용하는 것입니다. 리처드는 개인 정보의 보안과 보호를 극대화하기 위해 팩스 사용을 대폭 줄이고, 연말까지 엄격한 인터넷 팩스 정책을 도입할 계획입니다.
리처드는 할아버지께 우려를 표했고, 할아버지께서는 데이터 저장소 업데이트, 데이터 보안, 그리고 모든 측면에서 개인 정보 보호를 강화하는 전반적인 접근 방식이 필요하다는 데 동의하셨습니다. 맥아담스 씨는 리처드에게 그렇게 할 수 있는 자유와 권한을 부여했습니다. 이제 리처드는 변호사로서의 경력을 시작할 뿐만 아니라, 이 소규모 로펌의 개인정보보호책임자 역할도 맡고 있습니다. 리처드는 다음 날 IT 직원을 만나 현재 사무실 컴퓨터 시스템의 설정 및 관리 방식에 대한 정보를 얻을 계획입니다.
리차드는 데이터 수명 주기 관리(DLM)에 대해 더 많이 조사하기 시작하면서, 법률 사무소가 데이터 침해 위험을 낮추기 위해 무엇을 할 수 있는지 알아냈습니다.
CIPM 문제 63
대본
다음 질문에 답하려면 다음을 사용하세요.
최근 InStyte Date Corp에서 개인정보 보호 관리자로 채용되어 InStyle Data Corp가 새로운 데이터 보호법을 준수하도록 지원했습니다. 이 법은 기업이 개인 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 취하도록 규정하고 있습니다. 위반 시 막대한 벌금이 부과되며, 입법부는 새로운 법을 준수하지 않는 기업에 대해 적극적으로 조치를 취할 것이라고 밝혔습니다. 귀하는 보안 관리자를 선임하여 InStyle Data Corp의 현재 상황을 검토하고 "합리적이고 적절한 보안" 요건을 충족할 수 있도록 기업에 자문을 제공해야 합니다. InStyle Data Corp는 빠르게 성장했지만 데이터 인벤토리를 유지하거나 데이터 매핑을 완료하지 않았습니다. InStyte Data Corp는 또한 임시방편으로 보안 관련 정책을 개발했으며, 그중 상당수는 시행되지 않았습니다. InStyle Data Corp의 제품 개발 및 테스트에 참여하는 여러 팀의 이직률이 높고 역할이 명확하게 정의되어 있지 않습니다. 어떤 제품이 어떤 목적으로 어떤 개인 정보를 처리하는지 설명하는 문서가 거의 없습니다. 법이 시행될 때까지 InStyle Data Corp가 규정을 준수할 수 있도록 이 프로젝트에 대한 작업을 즉시 시작해야 합니다. 귀하와 귀하의 파트너는 InStyle Data Corp가 민감한 개인 정보가 포함된 파일을 고객에게 정기적으로 이메일을 통해 전송하며, 때로는 InStyle Data Corp 직원의 개인 이메일 계정을 사용한다는 사실을 알게 되었습니다. 또한 InStyle Data Corp의 개인정보 보호 및 정보 보안 팀은 새로운 개인 정보 흐름, InStyle Data Corp에서 개발한 개인 정보 처리 신제품, 또는 기존 InStyle Data Corp 제품의 업데이트로 인해 제품 또는 업데이트가 출시될 때까지 개인 정보 처리 내용이나 방식이 변경될 수 있는 정보를 받지 못한다는 사실도 알게 되었습니다.
InStyle Date Corp의 테스트 및 개발 환경 로그를 검토한 결과, InStyle Data Corp가 때때로 요청하는 InStyle Data Corp 직원이나 계약자에게 로그인 자격 증명을 제공한다는 사실을 발견했습니다.
테스트 환경에는 더미 데이터만 있지만, 개발 환경에는 사회보장번호, 가족 정보, 재무 정보를 비롯한 개인 데이터가 있습니다. 모든 자격증을 소지한 InStyle Data Corp 직원과 계약자는 자신의 역할이나 진행 중인 프로젝트에 관계 없이 두 환경 모두에서 개인 데이터를 추적하고 삭제할 수 있습니다.
귀하와 귀하의 파트너는 발견한 문제점과 권장 시정 조치, 구현 측정 방법을 인용하여 갭 평가를 제공합니다. InStyle Data Corp는 권장되는 보안 제어를 모두 구현합니다. 귀하는 모든 단계에서 개인 데이터를 적절하게 보호하기 위해 취한 프로세스, 역할, 제어 및 조치를 검토합니다. 그러나 귀하는 모니터링 계획이 없고 업데이트된 정책 및 절차 위반에 대한 제재를 다루는 조치가 전혀 없다는 것을 깨닫습니다. InStyle Data Corp는 그러한 모니터링을 위한 리소스가 없다고 주장하며 반박합니다.
격차 평가를 완료한 후, 귀하와 귀하의 파트너는 먼저 다음 사항에 대한 철저한 검토를 실시해야 합니까?
다음 질문에 답하려면 다음을 사용하세요.
최근 InStyte Date Corp에서 개인정보 보호 관리자로 채용되어 InStyle Data Corp가 새로운 데이터 보호법을 준수하도록 지원했습니다. 이 법은 기업이 개인 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 취하도록 규정하고 있습니다. 위반 시 막대한 벌금이 부과되며, 입법부는 새로운 법을 준수하지 않는 기업에 대해 적극적으로 조치를 취할 것이라고 밝혔습니다. 귀하는 보안 관리자를 선임하여 InStyle Data Corp의 현재 상황을 검토하고 "합리적이고 적절한 보안" 요건을 충족할 수 있도록 기업에 자문을 제공해야 합니다. InStyle Data Corp는 빠르게 성장했지만 데이터 인벤토리를 유지하거나 데이터 매핑을 완료하지 않았습니다. InStyte Data Corp는 또한 임시방편으로 보안 관련 정책을 개발했으며, 그중 상당수는 시행되지 않았습니다. InStyle Data Corp의 제품 개발 및 테스트에 참여하는 여러 팀의 이직률이 높고 역할이 명확하게 정의되어 있지 않습니다. 어떤 제품이 어떤 목적으로 어떤 개인 정보를 처리하는지 설명하는 문서가 거의 없습니다. 법이 시행될 때까지 InStyle Data Corp가 규정을 준수할 수 있도록 이 프로젝트에 대한 작업을 즉시 시작해야 합니다. 귀하와 귀하의 파트너는 InStyle Data Corp가 민감한 개인 정보가 포함된 파일을 고객에게 정기적으로 이메일을 통해 전송하며, 때로는 InStyle Data Corp 직원의 개인 이메일 계정을 사용한다는 사실을 알게 되었습니다. 또한 InStyle Data Corp의 개인정보 보호 및 정보 보안 팀은 새로운 개인 정보 흐름, InStyle Data Corp에서 개발한 개인 정보 처리 신제품, 또는 기존 InStyle Data Corp 제품의 업데이트로 인해 제품 또는 업데이트가 출시될 때까지 개인 정보 처리 내용이나 방식이 변경될 수 있는 정보를 받지 못한다는 사실도 알게 되었습니다.
InStyle Date Corp의 테스트 및 개발 환경 로그를 검토한 결과, InStyle Data Corp가 때때로 요청하는 InStyle Data Corp 직원이나 계약자에게 로그인 자격 증명을 제공한다는 사실을 발견했습니다.
테스트 환경에는 더미 데이터만 있지만, 개발 환경에는 사회보장번호, 가족 정보, 재무 정보를 비롯한 개인 데이터가 있습니다. 모든 자격증을 소지한 InStyle Data Corp 직원과 계약자는 자신의 역할이나 진행 중인 프로젝트에 관계 없이 두 환경 모두에서 개인 데이터를 추적하고 삭제할 수 있습니다.
귀하와 귀하의 파트너는 발견한 문제점과 권장 시정 조치, 구현 측정 방법을 인용하여 갭 평가를 제공합니다. InStyle Data Corp는 권장되는 보안 제어를 모두 구현합니다. 귀하는 모든 단계에서 개인 데이터를 적절하게 보호하기 위해 취한 프로세스, 역할, 제어 및 조치를 검토합니다. 그러나 귀하는 모니터링 계획이 없고 업데이트된 정책 및 절차 위반에 대한 제재를 다루는 조치가 전혀 없다는 것을 깨닫습니다. InStyle Data Corp는 그러한 모니터링을 위한 리소스가 없다고 주장하며 반박합니다.
격차 평가를 완료한 후, 귀하와 귀하의 파트너는 먼저 다음 사항에 대한 철저한 검토를 실시해야 합니까?
CIPM 문제 64
대본
다음 질문에 답하려면 다음을 사용하세요.
페니는 최근 가정용품 온라인 판매 회사인 에이스 스페이스(Ace Space)의 신임 개인정보보호책임자(Privacy Officer)로 합류했습니다. 캘리포니아에 본사를 둔 에이스 스페이스는 작년 한 소셜 미디어 인플루언서의 호평 덕분에 EU 지역에서 매출이 급증했고, 이러한 사업 확장을 지원하기 위해 아일랜드에 지역 사무소를 설립했습니다. 페니는 에이스 스페이스의 관행을 숙지하고 개인정보보호 우선순위를 파악하기 위해 여러 동료들과 회의를 열어 에이스 스페이스의 업무 및 규정 준수 노력에 대해 논의했습니다.
페니의 마케팅 동료는 새로운 매출과 회사 계획에 들떠 있지만, 페니가 자신이 계획한 성장 기회를 일부 축소할까 봐 우려하고 있습니다. 그는 페니에게 "휴게실에서 누군가 새로운 개인정보 보호법에 대해 이야기하는 걸 들었는데, 사실 우리에게는 영향이 없을 것 같아요. 우리는 작은 회사일 뿐이에요. 온라인으로만 액세서리를 판매하는데, 진짜 위험은 뭐죠?"라고 말했습니다. 그는 또한 여러 소규모 회사들과 협력하여 프로젝트를 신속하게 완료할 수 있다는 사실도 이야기했습니다. "마감일을 맞춰야 해요. 그렇지 않으면 손해를 볼 테니까요. 저는 계약서에 서명하고 재무팀의 짐에게 결제를 진행해 달라고 부탁할 뿐입니다. 계약서를 검토하는 데는 시간이 많이 들지만, 우리에게는 그런 시간이 없습니다." IT 팀원과의 회의에서 페니는 에이스 스페이스가 웹사이트를 악성 활동으로부터 보호하기 위해 여러 가지 예방 조치를 취했지만, 물리적 파일이나 내부 인프라에는 그만큼의 주의를 기울이지 않았다는 사실을 알게 되었습니다. 페니의 IT 동료는 전직 직원이 퇴사할 때 금융 정보가 담긴 암호화된 USB 키를 분실했다고 말했습니다. 회사는 작년에 피싱 공격을 받아 고객 데이터베이스에 거의 접근할 수 없게 되었습니다. 페니는 IT 동료로부터 IT 팀이 "무엇을 해야 할지, 누가 무엇을 해야 할지 몰랐습니다. 교육을 받지는 않았지만, 소규모 팀이었기에 결국에는 잘 해결되었습니다."라는 말을 들었습니다. 페니는 이러한 문제로 인해 에이스 스페이스의 개인정보 보호 및 데이터 보호가 침해될까 봐 우려하고 있습니다.
페니는 회사가 해외 매출 확대를 위한 탄탄한 계획을 가지고 있다는 것을 알고 있으며, CEO와 긴밀히 협력하여 조직의 데이터 "쇄신"을 추진할 것입니다. 그녀의 사명은 회사 내에 강력한 개인정보 보호 문화를 조성하는 것입니다.
페니는 오늘 에이스 스페이스 CEO와 회의를 갖고 첫인상과 다음 단계에 대한 개요를 말해달라는 요청을 받았습니다.
페니와 그녀의 CEO가 목표를 달성하는 데 도움이 되도록, 그녀의 IT 문제를 해결하는 가장 유용한 접근 방식은 무엇일까요?
다음 질문에 답하려면 다음을 사용하세요.
페니는 최근 가정용품 온라인 판매 회사인 에이스 스페이스(Ace Space)의 신임 개인정보보호책임자(Privacy Officer)로 합류했습니다. 캘리포니아에 본사를 둔 에이스 스페이스는 작년 한 소셜 미디어 인플루언서의 호평 덕분에 EU 지역에서 매출이 급증했고, 이러한 사업 확장을 지원하기 위해 아일랜드에 지역 사무소를 설립했습니다. 페니는 에이스 스페이스의 관행을 숙지하고 개인정보보호 우선순위를 파악하기 위해 여러 동료들과 회의를 열어 에이스 스페이스의 업무 및 규정 준수 노력에 대해 논의했습니다.
페니의 마케팅 동료는 새로운 매출과 회사 계획에 들떠 있지만, 페니가 자신이 계획한 성장 기회를 일부 축소할까 봐 우려하고 있습니다. 그는 페니에게 "휴게실에서 누군가 새로운 개인정보 보호법에 대해 이야기하는 걸 들었는데, 사실 우리에게는 영향이 없을 것 같아요. 우리는 작은 회사일 뿐이에요. 온라인으로만 액세서리를 판매하는데, 진짜 위험은 뭐죠?"라고 말했습니다. 그는 또한 여러 소규모 회사들과 협력하여 프로젝트를 신속하게 완료할 수 있다는 사실도 이야기했습니다. "마감일을 맞춰야 해요. 그렇지 않으면 손해를 볼 테니까요. 저는 계약서에 서명하고 재무팀의 짐에게 결제를 진행해 달라고 부탁할 뿐입니다. 계약서를 검토하는 데는 시간이 많이 들지만, 우리에게는 그런 시간이 없습니다." IT 팀원과의 회의에서 페니는 에이스 스페이스가 웹사이트를 악성 활동으로부터 보호하기 위해 여러 가지 예방 조치를 취했지만, 물리적 파일이나 내부 인프라에는 그만큼의 주의를 기울이지 않았다는 사실을 알게 되었습니다. 페니의 IT 동료는 전직 직원이 퇴사할 때 금융 정보가 담긴 암호화된 USB 키를 분실했다고 말했습니다. 회사는 작년에 피싱 공격을 받아 고객 데이터베이스에 거의 접근할 수 없게 되었습니다. 페니는 IT 동료로부터 IT 팀이 "무엇을 해야 할지, 누가 무엇을 해야 할지 몰랐습니다. 교육을 받지는 않았지만, 소규모 팀이었기에 결국에는 잘 해결되었습니다."라는 말을 들었습니다. 페니는 이러한 문제로 인해 에이스 스페이스의 개인정보 보호 및 데이터 보호가 침해될까 봐 우려하고 있습니다.
페니는 회사가 해외 매출 확대를 위한 탄탄한 계획을 가지고 있다는 것을 알고 있으며, CEO와 긴밀히 협력하여 조직의 데이터 "쇄신"을 추진할 것입니다. 그녀의 사명은 회사 내에 강력한 개인정보 보호 문화를 조성하는 것입니다.
페니는 오늘 에이스 스페이스 CEO와 회의를 갖고 첫인상과 다음 단계에 대한 개요를 말해달라는 요청을 받았습니다.
페니와 그녀의 CEO가 목표를 달성하는 데 도움이 되도록, 그녀의 IT 문제를 해결하는 가장 유용한 접근 방식은 무엇일까요?
CIPM 문제 65
일반 데이터 보호 규정(GDPR)에 따르면, 데이터 주체는 어떤 경우에 불필요한 지연 없이 자신의 데이터 삭제를 요청할 권리가 있습니까?