CIPM 문제 96
대본
다음 질문에 답하려면 다음을 사용하세요.
리처드 맥아담스는 최근 법학대학원을 졸업하고 버지니아주 렉싱턴이라는 작은 마을로 돌아가 연로하신 할아버지의 법률 사무소를 돕기로 했습니다. 아버지 맥아담스는 손자가 완전히 은퇴하면 결국 그 자리를 이어받게 되기를 바라며, 사무소에서 제한적이고 가벼운 역할을 맡고 싶어 했습니다. 맥아담스 씨는 리처드 외에도 두 명의 법률 보조원, 행정 보조원, 그리고 기본적인 네트워킹 업무를 담당하는 파트타임 IT 전문가를 고용하고 있습니다. 리처드가 자리를 잡고 사무소의 성장 전략을 평가하면 더 많은 직원을 채용할 계획입니다.
리처드는 도착하자마자 사무실 현대화를 위해 해야 할 일의 양에 깜짝 놀랐습니다. 특히 고객 개인 정보 처리와 관련된 일들이 많았습니다. 그의 첫 번째 목표는 파일 캐비닛에 보관된 모든 기록을 디지털화하는 것입니다. 많은 문서에 개인 식별이 가능한 재무 및 의료 정보가 포함되어 있기 때문입니다. 또한, 리처드는 행정 비서가 하루 종일 엄청난 양의 복사 작업을 한다는 것을 알게 되었습니다. 이러한 관행은 파일 캐비닛의 파일 수를 매일 증가시킬 뿐만 아니라, 공식적인 정책이 확립되지 않으면 보안 문제를 야기할 수 있습니다. 리처드는 또한 건물을 자주 이용하는 고객들이 쉽게 볼 수 있는 공용 복사기/프린터의 과도한 사용에 대해서도 우려하고 있습니다. 또 다른 우려 사항은 모든 직원이 동일한 팩스기를 사용하는 것입니다. 리처드는 개인 정보의 보안과 보호를 극대화하기 위해 팩스 사용을 대폭 줄이고, 연말까지 엄격한 인터넷 팩스 정책을 도입할 계획입니다.
리처드는 할아버지께 우려를 표했고, 할아버지께서는 데이터 저장소 업데이트, 데이터 보안, 그리고 모든 측면에서 개인 정보 보호를 강화하는 전반적인 접근 방식이 필요하다는 데 동의하셨습니다. 맥아담스 씨는 리처드에게 그렇게 할 수 있는 자유와 권한을 부여했습니다. 이제 리처드는 변호사로서의 경력을 시작할 뿐만 아니라, 이 소규모 로펌의 개인정보보호책임자 역할도 맡고 있습니다. 리처드는 다음 날 IT 직원을 만나 현재 사무실 컴퓨터 시스템의 설정 및 관리 방식에 대한 정보를 얻을 계획입니다.
리차드는 팩스기에서 인터넷 팩스로 전환하면 다음의 모든 보안 이점이 제공된다고 생각합니까?
다음 질문에 답하려면 다음을 사용하세요.
리처드 맥아담스는 최근 법학대학원을 졸업하고 버지니아주 렉싱턴이라는 작은 마을로 돌아가 연로하신 할아버지의 법률 사무소를 돕기로 했습니다. 아버지 맥아담스는 손자가 완전히 은퇴하면 결국 그 자리를 이어받게 되기를 바라며, 사무소에서 제한적이고 가벼운 역할을 맡고 싶어 했습니다. 맥아담스 씨는 리처드 외에도 두 명의 법률 보조원, 행정 보조원, 그리고 기본적인 네트워킹 업무를 담당하는 파트타임 IT 전문가를 고용하고 있습니다. 리처드가 자리를 잡고 사무소의 성장 전략을 평가하면 더 많은 직원을 채용할 계획입니다.
리처드는 도착하자마자 사무실 현대화를 위해 해야 할 일의 양에 깜짝 놀랐습니다. 특히 고객 개인 정보 처리와 관련된 일들이 많았습니다. 그의 첫 번째 목표는 파일 캐비닛에 보관된 모든 기록을 디지털화하는 것입니다. 많은 문서에 개인 식별이 가능한 재무 및 의료 정보가 포함되어 있기 때문입니다. 또한, 리처드는 행정 비서가 하루 종일 엄청난 양의 복사 작업을 한다는 것을 알게 되었습니다. 이러한 관행은 파일 캐비닛의 파일 수를 매일 증가시킬 뿐만 아니라, 공식적인 정책이 확립되지 않으면 보안 문제를 야기할 수 있습니다. 리처드는 또한 건물을 자주 이용하는 고객들이 쉽게 볼 수 있는 공용 복사기/프린터의 과도한 사용에 대해서도 우려하고 있습니다. 또 다른 우려 사항은 모든 직원이 동일한 팩스기를 사용하는 것입니다. 리처드는 개인 정보의 보안과 보호를 극대화하기 위해 팩스 사용을 대폭 줄이고, 연말까지 엄격한 인터넷 팩스 정책을 도입할 계획입니다.
리처드는 할아버지께 우려를 표했고, 할아버지께서는 데이터 저장소 업데이트, 데이터 보안, 그리고 모든 측면에서 개인 정보 보호를 강화하는 전반적인 접근 방식이 필요하다는 데 동의하셨습니다. 맥아담스 씨는 리처드에게 그렇게 할 수 있는 자유와 권한을 부여했습니다. 이제 리처드는 변호사로서의 경력을 시작할 뿐만 아니라, 이 소규모 로펌의 개인정보보호책임자 역할도 맡고 있습니다. 리처드는 다음 날 IT 직원을 만나 현재 사무실 컴퓨터 시스템의 설정 및 관리 방식에 대한 정보를 얻을 계획입니다.
리차드는 팩스기에서 인터넷 팩스로 전환하면 다음의 모든 보안 이점이 제공된다고 생각합니까?
CIPM 문제 97
아시아태평양경제협력체 개인정보보호 프레임워크의 주요 기능은 무엇입니까?
CIPM 문제 98
개인정보 보호 프로그램 감사의 주요 목적은 무엇입니까?
CIPM 문제 99
대본
다음 질문에 답하려면 다음을 사용하세요.
네이션와이드 그릴(Nationwide Grill) 레스토랑 체인의 최고재무책임자(CFO)인 나탈리아는 동료 임원들이 그렇게 불안해하는 모습을 본 적이 없었습니다. 지난주, 회사가 이용하는 데이터 처리 업체는 시스템이 해킹당해 이름, 주소, 생년월일 등 고객 데이터가 유출되었을 가능성이 있다고 보고했습니다. 해킹 시도는 실패로 끝났지만, 이러한 우려로 인해 오늘 회의에서 네이션와이드 그릴의 여러 임원들이 회사의 개인정보 보호 프로그램에 의문을 제기했습니다.
부사장인 앨리스는 이 사건이 소송으로 이어질 수 있었고, 네이션와이드 그릴의 시장 지위에 악영향을 미칠 가능성이 있다고 말했습니다. 최고정보책임자(CIO) 브렌던은 설령 실제 침해가 발생했더라도 회사를 상대로 한 소송에서 승소할 가능성은 희박하다고 앨리스에게 안심시키려 했습니다. 하지만 앨리스는 여전히 확신하지 못했습니다.
전 CEO이자 현재 수석 고문인 스펜서는 데이터 처리를 위해 계약업체를 이용하는 것에 대해 항상 경고해 왔다고 말했습니다. 그는 계약업체가 최소한 고객에게 보안 사고를 알린 것에 대해 계약상 책임을 져야 한다고 주장했습니다. 그의 견해에 따르면, 네이션와이드 그릴은 자사가 일으키지 않은 문제로 회사 이미지에 흠집을 내는 일을 강요받아서는 안 됩니다.
사업 개발(BD) 임원 중 한 명인 헤일리는 모두에게 이성을 되찾으라고 촉구하며 발언했습니다. "조직의 최선의 노력에도 불구하고 보안 침해는 발생할 수 있습니다."라고 그녀는 말했습니다. "합리적인 대비가 중요합니다." 그녀는 7년 전 대형 식료품 체인점 팅커튼스(Tinkerton's)가 네이션와이드 그릴(Nationwide Grill) 냉동식품 대량 주문 후 재무 정보가 유출되었던 사건을 모두에게 상기시켰습니다. BD에서 오랫동안 임원으로 재직하며 팅커튼스의 기업 문화에 대한 깊이 있는 이해와 오랜 관계 구축을 통해 쌓아온 경험을 바탕으로 헤일리는 회사의 사고 대응을 성공적으로 관리할 수 있었습니다.
스펜서는 이성적으로 행동한다는 것은 보안을 BD 직원이 아닌 회사 내 보안 부서가 처리하도록 하는 것이라고 답했습니다. 마찬가지로 인사부(HR)도 사고 예방을 위해 직원들을 더 잘 교육해야 한다고 그는 말했습니다. 그는 Nationwide Grill 직원들이 회사의 개인정보 보호 프로그램과 관련하여 인사부와 윤리 부서에서 보낸 포스터, 이메일, 메모에 압도당하고 있다고 지적했습니다. 정보의 양과 중복으로 인해 이러한 정보들이 완전히 무시되는 경우가 많습니다.
스펜서는 "회사는 개인정보 보호 프로그램에 전념하고 모든 직원을 대상으로 한 달에 한 번 정기적인 대면 교육을 실시해야 합니다."라고 말했습니다. 앨리스는 그 제안이 의도는 좋지만 현실적으로 불가능하다고 답했습니다. 많은 지사가 있기 때문에 각 지역 인사 부서는 교육 일정을 유연하게 운영해야 합니다. 나탈리아는 조용히 동의했습니다.
다른 사고가 발생했을 때 책임을 줄이기 위해 조직이 취할 수 있는 가장 현실적인 조치는 무엇입니까?
다음 질문에 답하려면 다음을 사용하세요.
네이션와이드 그릴(Nationwide Grill) 레스토랑 체인의 최고재무책임자(CFO)인 나탈리아는 동료 임원들이 그렇게 불안해하는 모습을 본 적이 없었습니다. 지난주, 회사가 이용하는 데이터 처리 업체는 시스템이 해킹당해 이름, 주소, 생년월일 등 고객 데이터가 유출되었을 가능성이 있다고 보고했습니다. 해킹 시도는 실패로 끝났지만, 이러한 우려로 인해 오늘 회의에서 네이션와이드 그릴의 여러 임원들이 회사의 개인정보 보호 프로그램에 의문을 제기했습니다.
부사장인 앨리스는 이 사건이 소송으로 이어질 수 있었고, 네이션와이드 그릴의 시장 지위에 악영향을 미칠 가능성이 있다고 말했습니다. 최고정보책임자(CIO) 브렌던은 설령 실제 침해가 발생했더라도 회사를 상대로 한 소송에서 승소할 가능성은 희박하다고 앨리스에게 안심시키려 했습니다. 하지만 앨리스는 여전히 확신하지 못했습니다.
전 CEO이자 현재 수석 고문인 스펜서는 데이터 처리를 위해 계약업체를 이용하는 것에 대해 항상 경고해 왔다고 말했습니다. 그는 계약업체가 최소한 고객에게 보안 사고를 알린 것에 대해 계약상 책임을 져야 한다고 주장했습니다. 그의 견해에 따르면, 네이션와이드 그릴은 자사가 일으키지 않은 문제로 회사 이미지에 흠집을 내는 일을 강요받아서는 안 됩니다.
사업 개발(BD) 임원 중 한 명인 헤일리는 모두에게 이성을 되찾으라고 촉구하며 발언했습니다. "조직의 최선의 노력에도 불구하고 보안 침해는 발생할 수 있습니다."라고 그녀는 말했습니다. "합리적인 대비가 중요합니다." 그녀는 7년 전 대형 식료품 체인점 팅커튼스(Tinkerton's)가 네이션와이드 그릴(Nationwide Grill) 냉동식품 대량 주문 후 재무 정보가 유출되었던 사건을 모두에게 상기시켰습니다. BD에서 오랫동안 임원으로 재직하며 팅커튼스의 기업 문화에 대한 깊이 있는 이해와 오랜 관계 구축을 통해 쌓아온 경험을 바탕으로 헤일리는 회사의 사고 대응을 성공적으로 관리할 수 있었습니다.
스펜서는 이성적으로 행동한다는 것은 보안을 BD 직원이 아닌 회사 내 보안 부서가 처리하도록 하는 것이라고 답했습니다. 마찬가지로 인사부(HR)도 사고 예방을 위해 직원들을 더 잘 교육해야 한다고 그는 말했습니다. 그는 Nationwide Grill 직원들이 회사의 개인정보 보호 프로그램과 관련하여 인사부와 윤리 부서에서 보낸 포스터, 이메일, 메모에 압도당하고 있다고 지적했습니다. 정보의 양과 중복으로 인해 이러한 정보들이 완전히 무시되는 경우가 많습니다.
스펜서는 "회사는 개인정보 보호 프로그램에 전념하고 모든 직원을 대상으로 한 달에 한 번 정기적인 대면 교육을 실시해야 합니다."라고 말했습니다. 앨리스는 그 제안이 의도는 좋지만 현실적으로 불가능하다고 답했습니다. 많은 지사가 있기 때문에 각 지역 인사 부서는 교육 일정을 유연하게 운영해야 합니다. 나탈리아는 조용히 동의했습니다.
다른 사고가 발생했을 때 책임을 줄이기 위해 조직이 취할 수 있는 가장 현실적인 조치는 무엇입니까?
CIPM 문제 100
다음 중 구속력 있는 기업 규칙(BCR)을 사용하는 국제 기구가 통제자 또는 처리자로서 적절한 준수를 어떻게 해야 하는지 가장 잘 설명하는 것은 무엇입니까?