CIPM 문제 121
대본
다음 질문에 답하려면 다음을 사용하세요.
Consolidated Records Corporation의 데이터 보호 책임자로서, 지금까지의 성과에 당연히 만족하고 계십니다. 비교적 경미한 일련의 데이터 유출 사고 이후 규제 기관의 경고를 받고 채용이 결정되었는데, 이 사고들은 더 심각해질 수도 있었습니다. 하지만 회사에 근무한 지 3년 동안 보고해야 할 사고는 단 한 건도 발생하지 않았습니다. 실제로, 귀하의 프로그램은 데이터 저장 업계의 다른 기업들이 자체 프로그램 개발에 참고할 만한 모범 사례라고 생각하십니다.
Consolidated에서 프로그램을 시작할 당시, 정책과 절차가 뒤죽박죽 섞여 있었고 부서 간, 그리고 운영 전반에 걸쳐 일관성을 유지해 나가기 위해 노력하셨습니다. 프로그램 후원자인 운영 부사장과 변화의 필요성을 명확히 이해하고 시작한 개인정보보호팀의 도움을 받았습니다.
처음에는 경영진과 데이터 및 고객 접점을 담당하는 일선 직원들로 구성된 회사의 "구세대"들이 당신의 업무를 신뢰하거나 열광적으로 받아들이지 않았습니다. 하지만 발생한 보안 침해로 인한 비용뿐만 아니라 현재 운영 상황을 고려할 때 발생할 수 있는 비용 예측까지 보여주는 지표를 활용함으로써, 곧 경영진과 주요 의사 결정권자들의 지지를 얻게 되었습니다. 다른 직원들은 대부분 반대했지만, 각 부서와의 대면 회의와 기본 개인정보 보호 교육 프로그램 개발을 통해 적절한 절차를 구축할 수 있는 충분한 "동의"를 얻었습니다.
이제 개인정보 보호는 개인 정보 또는 보호되는 데이터와 관련된 모든 현행 운영에서 허용되는 요소이며, 모든 기술 개발 과정의 최종 결과물에 반드시 포함되어야 합니다. 귀하의 접근 방식이 체계적이지는 않지만, 상당히 효과적입니다.
당신은 다음과 같은 생각을 하게 됩니다.
데이터 침해 방지 프로그램을 넘어 프로그램을 유지하고 개발하기 위해 무엇을 해야 할까요?
어떻게 성공을 이룰 수 있나요?
다음 조치 단계는 무엇입니까?
프로그램이 개발됨에 따라 재정적 실행 가능성을 추적하는 데 어떤 분석을 사용할 수 있습니까?
다음 질문에 답하려면 다음을 사용하세요.
Consolidated Records Corporation의 데이터 보호 책임자로서, 지금까지의 성과에 당연히 만족하고 계십니다. 비교적 경미한 일련의 데이터 유출 사고 이후 규제 기관의 경고를 받고 채용이 결정되었는데, 이 사고들은 더 심각해질 수도 있었습니다. 하지만 회사에 근무한 지 3년 동안 보고해야 할 사고는 단 한 건도 발생하지 않았습니다. 실제로, 귀하의 프로그램은 데이터 저장 업계의 다른 기업들이 자체 프로그램 개발에 참고할 만한 모범 사례라고 생각하십니다.
Consolidated에서 프로그램을 시작할 당시, 정책과 절차가 뒤죽박죽 섞여 있었고 부서 간, 그리고 운영 전반에 걸쳐 일관성을 유지해 나가기 위해 노력하셨습니다. 프로그램 후원자인 운영 부사장과 변화의 필요성을 명확히 이해하고 시작한 개인정보보호팀의 도움을 받았습니다.
처음에는 경영진과 데이터 및 고객 접점을 담당하는 일선 직원들로 구성된 회사의 "구세대"들이 당신의 업무를 신뢰하거나 열광적으로 받아들이지 않았습니다. 하지만 발생한 보안 침해로 인한 비용뿐만 아니라 현재 운영 상황을 고려할 때 발생할 수 있는 비용 예측까지 보여주는 지표를 활용함으로써, 곧 경영진과 주요 의사 결정권자들의 지지를 얻게 되었습니다. 다른 직원들은 대부분 반대했지만, 각 부서와의 대면 회의와 기본 개인정보 보호 교육 프로그램 개발을 통해 적절한 절차를 구축할 수 있는 충분한 "동의"를 얻었습니다.
이제 개인정보 보호는 개인 정보 또는 보호되는 데이터와 관련된 모든 현행 운영에서 허용되는 요소이며, 모든 기술 개발 과정의 최종 결과물에 반드시 포함되어야 합니다. 귀하의 접근 방식이 체계적이지는 않지만, 상당히 효과적입니다.
당신은 다음과 같은 생각을 하게 됩니다.
데이터 침해 방지 프로그램을 넘어 프로그램을 유지하고 개발하기 위해 무엇을 해야 할까요?
어떻게 성공을 이룰 수 있나요?
다음 조치 단계는 무엇입니까?
프로그램이 개발됨에 따라 재정적 실행 가능성을 추적하는 데 어떤 분석을 사용할 수 있습니까?
CIPM 문제 122
SCENARIO
Please use the following to answer the next QUESTION:
As the Director of data protection for Consolidated Records Corporation, you are justifiably pleased with your accomplishments so far. Your hiring was precipitated by warnings from regulatory agencies following a series of relatively minor data breaches that could easily have been worse. However, you have not had a reportable incident for the three years that you have been with the company. In fact, you consider your program a model that others in the data storage industry may note in their own program development.
You started the program at Consolidated from a jumbled mix of policies and procedures and worked toward coherence across departments and throughout operations. You were aided along the way by the program's sponsor, the vice president of operations, as well as by a Privacy Team that started from a clear understanding of the need for change.
Initially, your work was greeted with little confidence or enthusiasm by the company's "old guard" among both the executive team and frontline personnel working with data and interfacing with clients. Through the use of metrics that showed the costs not only of the breaches that had occurred, but also projections of the costs that easily could occur given the current state of operations, you soon had the leaders and key decision-makers largely on your side. Many of the other employees were more resistant, but face-to-face meetings with each department and the development of a baseline privacy training program achieved sufficient "buy-in" to begin putting the proper procedures into place.
Now, privacy protection is an accepted component of all current operations involving personal or protected data and must be part of the end product of any process of technological development. While your approach is not systematic, it is fairly effective.
You are left contemplating:
What must be done to maintain the program and develop it beyond just a data breach prevention program?
How can you build on your success?
What are the next action steps?
Which of the following would be most effectively used as a guide to a systems approach to implementing data protection?
Please use the following to answer the next QUESTION:
As the Director of data protection for Consolidated Records Corporation, you are justifiably pleased with your accomplishments so far. Your hiring was precipitated by warnings from regulatory agencies following a series of relatively minor data breaches that could easily have been worse. However, you have not had a reportable incident for the three years that you have been with the company. In fact, you consider your program a model that others in the data storage industry may note in their own program development.
You started the program at Consolidated from a jumbled mix of policies and procedures and worked toward coherence across departments and throughout operations. You were aided along the way by the program's sponsor, the vice president of operations, as well as by a Privacy Team that started from a clear understanding of the need for change.
Initially, your work was greeted with little confidence or enthusiasm by the company's "old guard" among both the executive team and frontline personnel working with data and interfacing with clients. Through the use of metrics that showed the costs not only of the breaches that had occurred, but also projections of the costs that easily could occur given the current state of operations, you soon had the leaders and key decision-makers largely on your side. Many of the other employees were more resistant, but face-to-face meetings with each department and the development of a baseline privacy training program achieved sufficient "buy-in" to begin putting the proper procedures into place.
Now, privacy protection is an accepted component of all current operations involving personal or protected data and must be part of the end product of any process of technological development. While your approach is not systematic, it is fairly effective.
You are left contemplating:
What must be done to maintain the program and develop it beyond just a data breach prevention program?
How can you build on your success?
What are the next action steps?
Which of the following would be most effectively used as a guide to a systems approach to implementing data protection?
CIPM 문제 123
다음 중 어떤 점이 귀하의 조직에 적합한 개인정보 보호 프레임워크를 개발했는지를 나타냅니다.
CIPM 문제 124
대본
다음 질문에 답하려면 다음을 사용하세요.
회사의 신임 CEO인 토마스 고다드는 데이터 보호 분야의 리더로 알려지기를 원합니다. 고다드는 최근 전 세계 수백만 명의 사용자를 보유한 온라인 동영상 시청 분야의 선구자 후피닷컴(Hoopy.com)의 최고재무책임자(CFO)를 역임했습니다. 안타깝게도 후피는 마케터에게 개인 정보를 무단 판매하는 등 윤리적으로 문제가 있는 관행으로 개인정보 보호 업계에서 악명을 떨치고 있습니다. 또한 후피는 전 세계적으로 화제를 모았던 신용카드 정보 유출 사건의 표적이 되었는데, 회사 측은 "적절한" 데이터 보호 조치를 시행하고 있다고 주장했지만, 최소 200만 개의 신용카드 번호가 유출된 것으로 추정됩니다. 이 스캔들은 경쟁사들이 유사한 엔터테인먼트 및 미디어 콘텐츠를 제공하면서 강화된 보안 수준을 빠르게 홍보함에 따라 회사 사업에 영향을 미쳤습니다. 스캔들이 터진 지 3주 만에 고다드의 멘토였던 후피의 설립자이자 CEO 맥스웰 마틴은 사임해야 했습니다.
하지만 고다드는 이제 막 창업 단계를 벗어난 귀사 미디어라이트(Medialite)의 CEO 자리를 차지하며 자리를 굳건히 지킨 것 같습니다. 그는 업계 최고의 데이터 보호 표준 및 절차를 기반으로 미디어라이트가 브랜드를 구축한다는 자신의 비전을 회사 이사회와 투자자들에게 설득했습니다. 그는 개인정보 보호 문제에 있어 한때는 쇠퇴했거나 심지어는 악덕 기업에서 핵심적인 역할을 했을지 모르지만, 이제는 개혁을 이루었으며 개인정보 보호의 진정한 신봉자라고 주장합니다. 취임 첫 주에 그는 당신을 사무실로 불러 개인정보 보호에 대한 그의 비전을 실현하는 것이 당신의 주요 업무라고 설명했습니다. 하지만 당신은 몇 가지 의구심을 느꼈습니다. "저희는 미디어라이트가 최고의 기준을 충족하기를 바랍니다."라고 그는 말했습니다. "사실, 저는 저희가 개인정보 보호 및 데이터 보호 분야에서 명실상부한 업계 선두주자라고 자부할 수 있기를 바랍니다. 하지만 저는 회사 재정을 책임감 있게 관리해야 합니다. 따라서 모든 면에서 최고의 솔루션을 제공해야 하지만, 비용 효율성도 갖춰야 합니다." 일주일 후에 권고 사항을 보고하라는 지시를 받았습니다. 모호한 임무를 맡은 당신은 임원실을 떠나면서 이미 다음 단계를 고려하고 있습니다.
CEO는 회사의 개선된 개인정보 보호 프로그램에 만족하지만, 업계 표준을 완벽하게 준수하고 새로운 모범 사례를 반영하고 있다는 추가적인 보장을 원합니다. 이 목표를 달성하는 데 가장 도움이 되는 것은 무엇일까요?
다음 질문에 답하려면 다음을 사용하세요.
회사의 신임 CEO인 토마스 고다드는 데이터 보호 분야의 리더로 알려지기를 원합니다. 고다드는 최근 전 세계 수백만 명의 사용자를 보유한 온라인 동영상 시청 분야의 선구자 후피닷컴(Hoopy.com)의 최고재무책임자(CFO)를 역임했습니다. 안타깝게도 후피는 마케터에게 개인 정보를 무단 판매하는 등 윤리적으로 문제가 있는 관행으로 개인정보 보호 업계에서 악명을 떨치고 있습니다. 또한 후피는 전 세계적으로 화제를 모았던 신용카드 정보 유출 사건의 표적이 되었는데, 회사 측은 "적절한" 데이터 보호 조치를 시행하고 있다고 주장했지만, 최소 200만 개의 신용카드 번호가 유출된 것으로 추정됩니다. 이 스캔들은 경쟁사들이 유사한 엔터테인먼트 및 미디어 콘텐츠를 제공하면서 강화된 보안 수준을 빠르게 홍보함에 따라 회사 사업에 영향을 미쳤습니다. 스캔들이 터진 지 3주 만에 고다드의 멘토였던 후피의 설립자이자 CEO 맥스웰 마틴은 사임해야 했습니다.
하지만 고다드는 이제 막 창업 단계를 벗어난 귀사 미디어라이트(Medialite)의 CEO 자리를 차지하며 자리를 굳건히 지킨 것 같습니다. 그는 업계 최고의 데이터 보호 표준 및 절차를 기반으로 미디어라이트가 브랜드를 구축한다는 자신의 비전을 회사 이사회와 투자자들에게 설득했습니다. 그는 개인정보 보호 문제에 있어 한때는 쇠퇴했거나 심지어는 악덕 기업에서 핵심적인 역할을 했을지 모르지만, 이제는 개혁을 이루었으며 개인정보 보호의 진정한 신봉자라고 주장합니다. 취임 첫 주에 그는 당신을 사무실로 불러 개인정보 보호에 대한 그의 비전을 실현하는 것이 당신의 주요 업무라고 설명했습니다. 하지만 당신은 몇 가지 의구심을 느꼈습니다. "저희는 미디어라이트가 최고의 기준을 충족하기를 바랍니다."라고 그는 말했습니다. "사실, 저는 저희가 개인정보 보호 및 데이터 보호 분야에서 명실상부한 업계 선두주자라고 자부할 수 있기를 바랍니다. 하지만 저는 회사 재정을 책임감 있게 관리해야 합니다. 따라서 모든 면에서 최고의 솔루션을 제공해야 하지만, 비용 효율성도 갖춰야 합니다." 일주일 후에 권고 사항을 보고하라는 지시를 받았습니다. 모호한 임무를 맡은 당신은 임원실을 떠나면서 이미 다음 단계를 고려하고 있습니다.
CEO는 회사의 개선된 개인정보 보호 프로그램에 만족하지만, 업계 표준을 완벽하게 준수하고 새로운 모범 사례를 반영하고 있다는 추가적인 보장을 원합니다. 이 목표를 달성하는 데 가장 도움이 되는 것은 무엇일까요?
CIPM 문제 125
SCENARIO
Please use the following to answer the next QUESTION:
You lead the privacy office for a company that handles information from individuals living in several countries throughout Europe and the Americas. You begin that morning's privacy review when a contracts officer sends you a message asking for a phone call. The message lacks clarity and detail, but you presume that data was lost.
계약 담당자에게 연락하니, 공급업체로부터 고객 정보를 부적절하게 공유했다는 내용의 편지를 우편으로 받았다고 합니다. 담당자는 공급업체에 전화를 걸어 귀사가 최근 2,000명을 대상으로 최근 의료 서비스 경험에 대한 설문조사를 실시하여 해당 설문조사 결과를 공급업체에 보내 데이터베이스에 저장하도록 했지만, 공급업체는 계약서에 약속된 대로 데이터베이스 암호화를 하지 않았습니다. 결과적으로 공급업체는 데이터 통제권을 상실했습니다.
공급업체는 매우 사과하며 알림 발송을 책임지겠다고 합니다. 2,000장의 우표가 붙은 엽서를 따로 준비해 두면 우편으로 알림을 받는 데 걸리는 시간이 단축될 것이라고 합니다. 한 면에는 로고만 있고, 다른 면은 빈칸으로 되어 있어서 원하는 대로 써도 된다고 합니다. 제안을 보류하고 공간 제약을 고려하여 텍스트를 작성하기 시작합니다. 공급업체 로고가 알림과 함께 표시되는 것에 만족합니다.
이 알림에는 귀사가 최근 세인트 세바스찬 병원 감염병 클리닉에서의 최근 경험에 대한 정보를 저장하기 위해 업체를 고용했다는 내용이 포함되어 있습니다. 해당 업체는 정보를 암호화하지 않았으며 더 이상 통제할 수 없습니다. 영향을 받은 2,000명 전원에게 정보 관련 이메일 알림 수신을 신청해 주시기 바랍니다. 귀사 웹사이트에 접속하여 간단한 광고를 시청한 후 이름, 이메일 주소, 생년월일을 입력하시면 됩니다.
오전 9시 전에 사고 대응 위원회에 이메일을 보내 협조를 구합니다. 이 상황에서 문제가 발생하면 동료들에게 책임을 분산시키고 싶을 것입니다. 그 후 8시간 동안 모든 사람이 이메일을 주고받습니다. 사고 대응 팀을 이끄는 컨설턴트는 오늘이 회사에 첫 출근이지만 45년 동안 다른 업계에 종사해 왔기에 최선을 다하겠다고 말합니다. 위원회에 있는 세 명의 변호사 중 한 명 때문에 대화가 엉뚱한 방향으로 흘러가지만, 결국 다시 원래대로 돌아갑니다. 결국 그들은 당신이 작성한 통지문을 사용하고 공급업체의 엽서를 사용하기로 투표합니다.
공급업체가 엽서를 발송한 직후, 데이터가 도난당한 서버에 있었다는 사실을 알게 되고, 회사에서 신용 모니터링 서비스를 제공하기로 결정했습니다. 인터넷 검색을 통해 CRUDLOK(Credit Under Lock and Key)라는 그럴듯한 이름의 신용 모니터링 회사를 찾았습니다. 영업 담당자는 2,000명 규모의 계약을 처리해 본 경험이 없지만, 약 하루 만에 CRUDLOK을 통해 다음과 같은 혜택을 누릴 수 있다는 제안서를 작성했습니다.
1. 계약서에 서명한 다음 날 모든 사람에게 등록 초대장을 보냅니다.
2. 이름과 국민식별번호의 마지막 4자리만 사용하여 누군가를 등록합니다.
3. 등록일로부터 2년 동안 각 등록자의 신용을 모니터링합니다.
4. 신용 등급과 시장 금리로 신용 관련 서비스를 제공하는 내용을 담은 이메일을 매달 보냅니다.
5.Charge your company 20% of the cost of any credit restoration.
You execute the contract and the enrollment invitations are emailed to the 2000 individuals. Three days later you sit down and document all that went well and all that could have gone better. You put it in a file to reference the next time an incident occurs.
Which of the following elements of the incident did you adequately determine?
Please use the following to answer the next QUESTION:
You lead the privacy office for a company that handles information from individuals living in several countries throughout Europe and the Americas. You begin that morning's privacy review when a contracts officer sends you a message asking for a phone call. The message lacks clarity and detail, but you presume that data was lost.
계약 담당자에게 연락하니, 공급업체로부터 고객 정보를 부적절하게 공유했다는 내용의 편지를 우편으로 받았다고 합니다. 담당자는 공급업체에 전화를 걸어 귀사가 최근 2,000명을 대상으로 최근 의료 서비스 경험에 대한 설문조사를 실시하여 해당 설문조사 결과를 공급업체에 보내 데이터베이스에 저장하도록 했지만, 공급업체는 계약서에 약속된 대로 데이터베이스 암호화를 하지 않았습니다. 결과적으로 공급업체는 데이터 통제권을 상실했습니다.
공급업체는 매우 사과하며 알림 발송을 책임지겠다고 합니다. 2,000장의 우표가 붙은 엽서를 따로 준비해 두면 우편으로 알림을 받는 데 걸리는 시간이 단축될 것이라고 합니다. 한 면에는 로고만 있고, 다른 면은 빈칸으로 되어 있어서 원하는 대로 써도 된다고 합니다. 제안을 보류하고 공간 제약을 고려하여 텍스트를 작성하기 시작합니다. 공급업체 로고가 알림과 함께 표시되는 것에 만족합니다.
이 알림에는 귀사가 최근 세인트 세바스찬 병원 감염병 클리닉에서의 최근 경험에 대한 정보를 저장하기 위해 업체를 고용했다는 내용이 포함되어 있습니다. 해당 업체는 정보를 암호화하지 않았으며 더 이상 통제할 수 없습니다. 영향을 받은 2,000명 전원에게 정보 관련 이메일 알림 수신을 신청해 주시기 바랍니다. 귀사 웹사이트에 접속하여 간단한 광고를 시청한 후 이름, 이메일 주소, 생년월일을 입력하시면 됩니다.
오전 9시 전에 사고 대응 위원회에 이메일을 보내 협조를 구합니다. 이 상황에서 문제가 발생하면 동료들에게 책임을 분산시키고 싶을 것입니다. 그 후 8시간 동안 모든 사람이 이메일을 주고받습니다. 사고 대응 팀을 이끄는 컨설턴트는 오늘이 회사에 첫 출근이지만 45년 동안 다른 업계에 종사해 왔기에 최선을 다하겠다고 말합니다. 위원회에 있는 세 명의 변호사 중 한 명 때문에 대화가 엉뚱한 방향으로 흘러가지만, 결국 다시 원래대로 돌아갑니다. 결국 그들은 당신이 작성한 통지문을 사용하고 공급업체의 엽서를 사용하기로 투표합니다.
공급업체가 엽서를 발송한 직후, 데이터가 도난당한 서버에 있었다는 사실을 알게 되고, 회사에서 신용 모니터링 서비스를 제공하기로 결정했습니다. 인터넷 검색을 통해 CRUDLOK(Credit Under Lock and Key)라는 그럴듯한 이름의 신용 모니터링 회사를 찾았습니다. 영업 담당자는 2,000명 규모의 계약을 처리해 본 경험이 없지만, 약 하루 만에 CRUDLOK을 통해 다음과 같은 혜택을 누릴 수 있다는 제안서를 작성했습니다.
1. 계약서에 서명한 다음 날 모든 사람에게 등록 초대장을 보냅니다.
2. 이름과 국민식별번호의 마지막 4자리만 사용하여 누군가를 등록합니다.
3. 등록일로부터 2년 동안 각 등록자의 신용을 모니터링합니다.
4. 신용 등급과 시장 금리로 신용 관련 서비스를 제공하는 내용을 담은 이메일을 매달 보냅니다.
5.Charge your company 20% of the cost of any credit restoration.
You execute the contract and the enrollment invitations are emailed to the 2000 individuals. Three days later you sit down and document all that went well and all that could have gone better. You put it in a file to reference the next time an incident occurs.
Which of the following elements of the incident did you adequately determine?