CIPM 문제 136
대본
다음 질문에 답하려면 다음을 사용하세요.
Martin Briseño is the director of human resources at the Canyon City location of the U.S. hotel chain Pacific Suites. In 1998, Briseño decided to change the hotel's on-the-job mentoring model to a standardized training program for employees who were progressing from line positions into supervisory positions. He developed a curriculum comprising a series of lessons, scenarios, and assessments, which was delivered in-person to small groups. Interest in the training increased, leading Briseño to work with corporate HR specialists and software engineers to offer the program in an online format. The online program saved the cost of a trainer and allowed participants to work through the material at their own pace.
Upon hearing about the success of Briseño's program, Pacific Suites corporate Vice President Maryanne Silva-Hayes expanded the training and offered it company-wide. Employees who completed the program received certification as a Pacific Suites Hospitality Supervisor. By 2001, the program had grown to provide industry-wide training. Personnel at hotels across the country could sign up and pay to take the course online.
As the program became increasingly profitable, Pacific Suites developed an offshoot business, Pacific Hospitality Training (PHT). The sole focus of PHT was developing and marketing a variety of online courses and course progressions providing a number of professional certifications in the hospitality industry.
By setting up a user account with PHT, course participants could access an information library, sign up for courses, and take end-of-course certification tests. When a user opened a new account, all information was saved by default, including the user's name, date of birth, contact information, credit card information, employer, and job title. The registration page offered an opt-out choice that users could click to not have their credit card numbers saved. Once a user name and password were established, users could return to check their course status, review and reprint their certifications, and sign up and pay for new courses. Between 2002 and
2008, PHT issued more than 700,000 professional certifications.
PHT's profits declined in 2009 and 2010, the victim of industry downsizing and increased competition from e- learning providers. By 2011, Pacific Suites was out of the online certification business and PHT was dissolved. The training program's systems and records remained in Pacific Suites' digital archives, un- accessed and unused. Briseño and Silva-Hayes moved on to work for other companies, and there was no plan for handling the archived data after the program ended. After PHT was dissolved, Pacific Suites executives turned their attention to crucial day-to-day operations. They planned to deal with the PHT materials once resources allowed.
2012년, Pacific Suites의 컴퓨터 네트워크가 해킹당했습니다. 온라인 예약 시스템에 설치된 악성코드가 수백 명의 호텔 투숙객의 신용카드 정보를 유출시켰습니다. 해커들은 예약 사이트의 재무 데이터를 노리는 동시에 Pacific Hospitality Training의 고객들의 보관된 교육 과정 데이터와 등록 계정도 발견했습니다. 해킹으로 인해 최근 호텔 투숙객의 신용카드 번호와 모든 내용이 포함된 PHT 데이터베이스가 유출되었습니다.
Pacific Suites의 시스템 분석가는 활동 보고서를 정기적으로 검토하던 중 정보 보안 침해를 발견했습니다. Pacific Suites는 심각한 피해를 막기 위해 신용카드 회사와 최근 호텔 투숙객에게 침해 사실을 신속하게 알렸습니다. 기술 보안 엔지니어들은 PHT 데이터를 처리하는 데 어려움을 겪었습니다.
PHT 과정 관리자와 IT 엔지니어는 정보를 추적, 목록화 및 저장하는 시스템을 갖추고 있지 않았습니다. Pacific Suites는 데이터 접근 및 저장 절차를 갖추고 있었지만, PHT 설립 당시에는 이러한 절차가 구현되지 않았습니다. Pacific Suites가 PHT 데이터베이스를 인수했을 당시에는 소유주도 감독자도 없었습니다. 기술 보안 엔지니어가 어떤 개인 정보가 침해되었는지 파악했을 당시에는 최소 8,000명의 신용카드 소지자가 사기 행위의 잠재적 피해자였습니다.
Pacific Suites는 자회사인 PHT의 민감한 정보를 보호하는 데 어떤 책임을 맡았습니까?
다음 질문에 답하려면 다음을 사용하세요.
Martin Briseño is the director of human resources at the Canyon City location of the U.S. hotel chain Pacific Suites. In 1998, Briseño decided to change the hotel's on-the-job mentoring model to a standardized training program for employees who were progressing from line positions into supervisory positions. He developed a curriculum comprising a series of lessons, scenarios, and assessments, which was delivered in-person to small groups. Interest in the training increased, leading Briseño to work with corporate HR specialists and software engineers to offer the program in an online format. The online program saved the cost of a trainer and allowed participants to work through the material at their own pace.
Upon hearing about the success of Briseño's program, Pacific Suites corporate Vice President Maryanne Silva-Hayes expanded the training and offered it company-wide. Employees who completed the program received certification as a Pacific Suites Hospitality Supervisor. By 2001, the program had grown to provide industry-wide training. Personnel at hotels across the country could sign up and pay to take the course online.
As the program became increasingly profitable, Pacific Suites developed an offshoot business, Pacific Hospitality Training (PHT). The sole focus of PHT was developing and marketing a variety of online courses and course progressions providing a number of professional certifications in the hospitality industry.
By setting up a user account with PHT, course participants could access an information library, sign up for courses, and take end-of-course certification tests. When a user opened a new account, all information was saved by default, including the user's name, date of birth, contact information, credit card information, employer, and job title. The registration page offered an opt-out choice that users could click to not have their credit card numbers saved. Once a user name and password were established, users could return to check their course status, review and reprint their certifications, and sign up and pay for new courses. Between 2002 and
2008, PHT issued more than 700,000 professional certifications.
PHT's profits declined in 2009 and 2010, the victim of industry downsizing and increased competition from e- learning providers. By 2011, Pacific Suites was out of the online certification business and PHT was dissolved. The training program's systems and records remained in Pacific Suites' digital archives, un- accessed and unused. Briseño and Silva-Hayes moved on to work for other companies, and there was no plan for handling the archived data after the program ended. After PHT was dissolved, Pacific Suites executives turned their attention to crucial day-to-day operations. They planned to deal with the PHT materials once resources allowed.
2012년, Pacific Suites의 컴퓨터 네트워크가 해킹당했습니다. 온라인 예약 시스템에 설치된 악성코드가 수백 명의 호텔 투숙객의 신용카드 정보를 유출시켰습니다. 해커들은 예약 사이트의 재무 데이터를 노리는 동시에 Pacific Hospitality Training의 고객들의 보관된 교육 과정 데이터와 등록 계정도 발견했습니다. 해킹으로 인해 최근 호텔 투숙객의 신용카드 번호와 모든 내용이 포함된 PHT 데이터베이스가 유출되었습니다.
Pacific Suites의 시스템 분석가는 활동 보고서를 정기적으로 검토하던 중 정보 보안 침해를 발견했습니다. Pacific Suites는 심각한 피해를 막기 위해 신용카드 회사와 최근 호텔 투숙객에게 침해 사실을 신속하게 알렸습니다. 기술 보안 엔지니어들은 PHT 데이터를 처리하는 데 어려움을 겪었습니다.
PHT 과정 관리자와 IT 엔지니어는 정보를 추적, 목록화 및 저장하는 시스템을 갖추고 있지 않았습니다. Pacific Suites는 데이터 접근 및 저장 절차를 갖추고 있었지만, PHT 설립 당시에는 이러한 절차가 구현되지 않았습니다. Pacific Suites가 PHT 데이터베이스를 인수했을 당시에는 소유주도 감독자도 없었습니다. 기술 보안 엔지니어가 어떤 개인 정보가 침해되었는지 파악했을 당시에는 최소 8,000명의 신용카드 소지자가 사기 행위의 잠재적 피해자였습니다.
Pacific Suites는 자회사인 PHT의 민감한 정보를 보호하는 데 어떤 책임을 맡았습니까?
CIPM 문제 137
조직의 내부 감사팀은 다음을 제외한 모든 작업을 수행해야 합니다.
CIPM 문제 138
SCENARIO
Please use the following to answer the next QUESTION:
As they company's new chief executive officer, Thomas Goddard wants to be known as a leader in data protection. Goddard recently served as the chief financial officer of Hoopy.com, a pioneer in online video viewing with millions of users around the world. Unfortunately, Hoopy is infamous within privacy protection circles for its ethically Questionable practices, including unauthorized sales of personal data to marketers.
Hoopy also was the target of credit card data theft that made headlines around the world, as at least two million credit card numbers were thought to have been pilfered despite the company's claims that
"appropriate" data protection safeguards were in place. The scandal affected the company's business as competitors were quick to market an increased level of protection while offering similar entertainment and media content. Within three weeks after the scandal broke, Hoopy founder and CEO Maxwell Martin, Goddard's mentor, was forced to step down.
Goddard, however, seems to have landed on his feet, securing the CEO position at your company, Medialite, which is just emerging from its start-up phase. He sold the company's board and investors on his vision of Medialite building its brand partly on the basis of industry-leading data protection standards and procedures.
그는 개인정보 보호 문제에 있어 낡거나 심지어 악덕 조직에서 핵심적인 역할을 했을지 모르지만, 이제는 개혁을 이루었고 개인정보 보호의 진정한 신봉자라고 주장합니다. 취임 첫 주에 그는 당신을 사무실로 불러 개인정보 보호에 대한 그의 비전을 실현하는 것이 당신의 주된 업무라고 설명합니다. 하지만 당신은 몇 가지 의구심을 느낍니다. "저희는 Medialite가 절대적으로 최고의 기준을 갖기를 바랍니다."라고 그는 말합니다. "사실, 저는 저희가 개인정보 보호 및 데이터 보호 분야에서 업계 선두주자라고 자부할 수 있기를 바랍니다. 하지만 동시에 저는 회사 재정을 책임감 있게 관리해야 합니다. 따라서 모든 면에서 최고의 솔루션을 제공해야 하지만, 비용 효율성도 갖춰야 합니다." 일주일 후에 권고안을 보고하라는 지시를 받습니다. 이 모호한 사명을 맡은 당신은 이미 다음 단계를 고려하며 임원실을 떠납니다.
고다드는 새로운 개인정보 보호 조치를 시행하는 데 드는 비용이 정당한지 평가하기 위해 어떤 지표를 사용할 수 있을까?
Please use the following to answer the next QUESTION:
As they company's new chief executive officer, Thomas Goddard wants to be known as a leader in data protection. Goddard recently served as the chief financial officer of Hoopy.com, a pioneer in online video viewing with millions of users around the world. Unfortunately, Hoopy is infamous within privacy protection circles for its ethically Questionable practices, including unauthorized sales of personal data to marketers.
Hoopy also was the target of credit card data theft that made headlines around the world, as at least two million credit card numbers were thought to have been pilfered despite the company's claims that
"appropriate" data protection safeguards were in place. The scandal affected the company's business as competitors were quick to market an increased level of protection while offering similar entertainment and media content. Within three weeks after the scandal broke, Hoopy founder and CEO Maxwell Martin, Goddard's mentor, was forced to step down.
Goddard, however, seems to have landed on his feet, securing the CEO position at your company, Medialite, which is just emerging from its start-up phase. He sold the company's board and investors on his vision of Medialite building its brand partly on the basis of industry-leading data protection standards and procedures.
그는 개인정보 보호 문제에 있어 낡거나 심지어 악덕 조직에서 핵심적인 역할을 했을지 모르지만, 이제는 개혁을 이루었고 개인정보 보호의 진정한 신봉자라고 주장합니다. 취임 첫 주에 그는 당신을 사무실로 불러 개인정보 보호에 대한 그의 비전을 실현하는 것이 당신의 주된 업무라고 설명합니다. 하지만 당신은 몇 가지 의구심을 느낍니다. "저희는 Medialite가 절대적으로 최고의 기준을 갖기를 바랍니다."라고 그는 말합니다. "사실, 저는 저희가 개인정보 보호 및 데이터 보호 분야에서 업계 선두주자라고 자부할 수 있기를 바랍니다. 하지만 동시에 저는 회사 재정을 책임감 있게 관리해야 합니다. 따라서 모든 면에서 최고의 솔루션을 제공해야 하지만, 비용 효율성도 갖춰야 합니다." 일주일 후에 권고안을 보고하라는 지시를 받습니다. 이 모호한 사명을 맡은 당신은 이미 다음 단계를 고려하며 임원실을 떠납니다.
고다드는 새로운 개인정보 보호 조치를 시행하는 데 드는 비용이 정당한지 평가하기 위해 어떤 지표를 사용할 수 있을까?
CIPM 문제 139
개인정보 보호 성숙도 모델은 다음을 제외한 모든 것을 제공합니다.
CIPM 문제 140
대본
다음 질문에 답하려면 다음을 사용하세요.
시카고(미국)에 본사를 둔 귀 단체인 도시녹지공간협회(Society for Urban Greenspace)는 수년간 온라인 스토어 운영 전반에 동일한 업체를 이용해 왔습니다. 소규모 비영리 단체인 협회는 고가의 옵션을 감당할 수 없지만, 귀 단체는 이 저렴한 업체인 쇼핑카트 세이버(Shopping Cart Saver, SCS)에 비교적 만족해 왔습니다. 네, 몇 가지 문제가 있었습니다. 이 매장에서 상품을 구매한 사람들의 신용카드 정보가 귀 사이트 거래 후 두 번이나 부정하게 사용되었지만, 두 경우 모두 조사 결과 협회 매장이 해킹당했다는 확실한 증거는 없었습니다. 도난 사건은 직원과 관련이 있었을 가능성이 있습니다.
SCS가 고객으로부터 수집한 정보를 제3자에게 판매했다는 사실이 발견된 사건 또한 당혹스러웠습니다. 하지만 SCS 계정 담당자인 제이슨 롤랜드가 지적했듯이, 단 한 번의 전화 통화로 기대치를 명확히 밝혔고, 그 "오해"는 다시 발생하지 않았습니다.
협회의 정보 기술 프로그램 관리자로서 개인정보 보호 전문가의 역할은 여러분이 담당하는 여러 역할 중 하나일 뿐입니다. 하지만 모든 사안에서 재정적인 측면을 고려해야 합니다. 개인정보 보호와 관련된 이러한 문제들이 심각했지만, 매장에서 셔츠나 커피잔과 같은 품목을 판매하여 얻은 추가 수입도 상당했습니다. 협회의 운영 예산은 부족하며, 모든 수입원이 필수적입니다.
이제 새로운 과제가 생겼습니다. 제이슨이 전화해서 2주 후부터 매장의 고객 데이터가 데이터 클라우드에 저장될 것이라고 말했습니다. "좋은 소식은 핀란드에서 저렴한 데이터 제공업체를 찾았다는 것입니다. 거기에도 데이터가 저장될 것입니다. 따라서 소액의 비용이 발생할 수 있지만, 특히 클라우드의 장점을 고려하면 터무니없지는 않을 것입니다." 최근 클라우드 컴퓨팅에 대해 들어보셨을 텐데, 다양한 애플리케이션의 새로운 패러다임으로 빠르게 자리 잡고 있다는 것을 알고 계실 겁니다. 하지만 개인정보 보호에 미칠 수 있는 잠재적 영향에 대해서는 엇갈린 평가를 접하게 되었습니다. 조사를 시작하니 여러 주요 클라우드 서비스 제공업체가 개인정보 보호를 위한 공동 규약 및 기술 개발에 협력하기로 의향서에 서명했다는 것을 알게 되었습니다. 제이슨의 핀란드 제공업체가 서명하는지 확인하기 위해 메모를 남깁니다.
공급업체의 데이터 보안 조치에 대한 질문에 가장 잘 답할 수 있는 프로세스는 무엇입니까?
다음 질문에 답하려면 다음을 사용하세요.
시카고(미국)에 본사를 둔 귀 단체인 도시녹지공간협회(Society for Urban Greenspace)는 수년간 온라인 스토어 운영 전반에 동일한 업체를 이용해 왔습니다. 소규모 비영리 단체인 협회는 고가의 옵션을 감당할 수 없지만, 귀 단체는 이 저렴한 업체인 쇼핑카트 세이버(Shopping Cart Saver, SCS)에 비교적 만족해 왔습니다. 네, 몇 가지 문제가 있었습니다. 이 매장에서 상품을 구매한 사람들의 신용카드 정보가 귀 사이트 거래 후 두 번이나 부정하게 사용되었지만, 두 경우 모두 조사 결과 협회 매장이 해킹당했다는 확실한 증거는 없었습니다. 도난 사건은 직원과 관련이 있었을 가능성이 있습니다.
SCS가 고객으로부터 수집한 정보를 제3자에게 판매했다는 사실이 발견된 사건 또한 당혹스러웠습니다. 하지만 SCS 계정 담당자인 제이슨 롤랜드가 지적했듯이, 단 한 번의 전화 통화로 기대치를 명확히 밝혔고, 그 "오해"는 다시 발생하지 않았습니다.
협회의 정보 기술 프로그램 관리자로서 개인정보 보호 전문가의 역할은 여러분이 담당하는 여러 역할 중 하나일 뿐입니다. 하지만 모든 사안에서 재정적인 측면을 고려해야 합니다. 개인정보 보호와 관련된 이러한 문제들이 심각했지만, 매장에서 셔츠나 커피잔과 같은 품목을 판매하여 얻은 추가 수입도 상당했습니다. 협회의 운영 예산은 부족하며, 모든 수입원이 필수적입니다.
이제 새로운 과제가 생겼습니다. 제이슨이 전화해서 2주 후부터 매장의 고객 데이터가 데이터 클라우드에 저장될 것이라고 말했습니다. "좋은 소식은 핀란드에서 저렴한 데이터 제공업체를 찾았다는 것입니다. 거기에도 데이터가 저장될 것입니다. 따라서 소액의 비용이 발생할 수 있지만, 특히 클라우드의 장점을 고려하면 터무니없지는 않을 것입니다." 최근 클라우드 컴퓨팅에 대해 들어보셨을 텐데, 다양한 애플리케이션의 새로운 패러다임으로 빠르게 자리 잡고 있다는 것을 알고 계실 겁니다. 하지만 개인정보 보호에 미칠 수 있는 잠재적 영향에 대해서는 엇갈린 평가를 접하게 되었습니다. 조사를 시작하니 여러 주요 클라우드 서비스 제공업체가 개인정보 보호를 위한 공동 규약 및 기술 개발에 협력하기로 의향서에 서명했다는 것을 알게 되었습니다. 제이슨의 핀란드 제공업체가 서명하는지 확인하기 위해 메모를 남깁니다.
공급업체의 데이터 보안 조치에 대한 질문에 가장 잘 답할 수 있는 프로세스는 무엇입니까?