CIPM 문제 156
대본
다음 질문에 답하려면 다음을 사용하세요.
네이션와이드 그릴(Nationwide Grill) 레스토랑 체인의 최고재무책임자(CFO)인 나탈리아는 동료 임원들이 그렇게 불안해하는 모습을 본 적이 없었습니다. 지난주, 회사가 이용하는 데이터 처리 업체는 시스템이 해킹당해 이름, 주소, 생년월일 등 고객 데이터가 유출되었을 가능성이 있다고 보고했습니다. 해킹 시도는 실패로 끝났지만, 이러한 우려로 인해 오늘 회의에서 네이션와이드 그릴의 여러 임원들이 회사의 개인정보 보호 프로그램에 의문을 제기했습니다.
부사장인 앨리스는 이 사건이 소송으로 이어질 수 있었고, 네이션와이드 그릴의 시장 지위에 악영향을 미칠 가능성이 있다고 말했습니다. 최고정보책임자(CIO) 브렌던은 설령 실제 침해가 발생했더라도 회사를 상대로 한 소송에서 승소할 가능성은 희박하다고 앨리스에게 안심시키려 했습니다. 하지만 앨리스는 여전히 확신하지 못했습니다.
전 CEO이자 현재 수석 고문인 스펜서는 데이터 처리를 위해 계약업체를 이용하는 것에 대해 항상 경고해 왔다고 말했습니다. 그는 계약업체가 최소한 고객에게 보안 사고를 알린 것에 대해 계약상 책임을 져야 한다고 주장했습니다. 그의 견해에 따르면, 네이션와이드 그릴은 자사가 일으키지 않은 문제로 회사 이미지에 흠집을 내는 일을 강요받아서는 안 됩니다.
그러자 사업 개발(BD) 임원 중 한 명인 헤일리가 연설을 하며 모든 사람에게 이성을 되찾으라고 촉구했습니다.
"조직의 최선의 노력에도 불구하고 보안 침해는 발생할 수 있습니다."라고 그녀는 말했습니다. "합리적인 대비가 중요합니다." 그녀는 7년 전 대형 식료품 체인점 팅커튼스가 네이션와이드 그릴 냉동식품 대량 주문 후 재무 정보가 유출되었던 사건을 모두에게 상기시켰습니다. BD에서 오랫동안 임원으로 재직하며 팅커튼스의 기업 문화에 대한 깊이 있는 이해와 오랜 관계 구축을 통해 쌓아온 경험을 바탕으로 헤일리는 회사의 사고 대응을 성공적으로 관리할 수 있었습니다.
스펜서는 이성적으로 행동한다는 것은 보안을 BD 직원이 아닌 회사 내 보안 부서가 처리하도록 하는 것이라고 답했습니다. 마찬가지로 인사부(HR)도 사고 예방을 위해 직원들을 더 잘 교육해야 한다고 그는 말했습니다. 그는 Nationwide Grill 직원들이 회사의 개인정보 보호 프로그램과 관련하여 인사부와 윤리 부서에서 보낸 포스터, 이메일, 메모에 압도당하고 있다고 지적했습니다. 정보의 양과 중복으로 인해 이러한 정보들이 완전히 무시되는 경우가 많습니다.
스펜서는 "회사는 개인정보 보호 프로그램에 전념하고 모든 직원을 대상으로 한 달에 한 번 정기적인 대면 교육을 실시해야 합니다."라고 말했습니다. 앨리스는 그 제안이 의도는 좋지만 현실적으로 불가능하다고 답했습니다. 많은 지사가 있기 때문에 각 지역 인사 부서는 교육 일정을 유연하게 운영해야 합니다. 나탈리아는 조용히 동의했습니다.
이 시나리오를 바탕으로 Nationwide Grill은 무엇을 통해 회사의 개인정보 보호 프로그램에 대한 직원들의 인식을 높여야 할까요?
다음 질문에 답하려면 다음을 사용하세요.
네이션와이드 그릴(Nationwide Grill) 레스토랑 체인의 최고재무책임자(CFO)인 나탈리아는 동료 임원들이 그렇게 불안해하는 모습을 본 적이 없었습니다. 지난주, 회사가 이용하는 데이터 처리 업체는 시스템이 해킹당해 이름, 주소, 생년월일 등 고객 데이터가 유출되었을 가능성이 있다고 보고했습니다. 해킹 시도는 실패로 끝났지만, 이러한 우려로 인해 오늘 회의에서 네이션와이드 그릴의 여러 임원들이 회사의 개인정보 보호 프로그램에 의문을 제기했습니다.
부사장인 앨리스는 이 사건이 소송으로 이어질 수 있었고, 네이션와이드 그릴의 시장 지위에 악영향을 미칠 가능성이 있다고 말했습니다. 최고정보책임자(CIO) 브렌던은 설령 실제 침해가 발생했더라도 회사를 상대로 한 소송에서 승소할 가능성은 희박하다고 앨리스에게 안심시키려 했습니다. 하지만 앨리스는 여전히 확신하지 못했습니다.
전 CEO이자 현재 수석 고문인 스펜서는 데이터 처리를 위해 계약업체를 이용하는 것에 대해 항상 경고해 왔다고 말했습니다. 그는 계약업체가 최소한 고객에게 보안 사고를 알린 것에 대해 계약상 책임을 져야 한다고 주장했습니다. 그의 견해에 따르면, 네이션와이드 그릴은 자사가 일으키지 않은 문제로 회사 이미지에 흠집을 내는 일을 강요받아서는 안 됩니다.
그러자 사업 개발(BD) 임원 중 한 명인 헤일리가 연설을 하며 모든 사람에게 이성을 되찾으라고 촉구했습니다.
"조직의 최선의 노력에도 불구하고 보안 침해는 발생할 수 있습니다."라고 그녀는 말했습니다. "합리적인 대비가 중요합니다." 그녀는 7년 전 대형 식료품 체인점 팅커튼스가 네이션와이드 그릴 냉동식품 대량 주문 후 재무 정보가 유출되었던 사건을 모두에게 상기시켰습니다. BD에서 오랫동안 임원으로 재직하며 팅커튼스의 기업 문화에 대한 깊이 있는 이해와 오랜 관계 구축을 통해 쌓아온 경험을 바탕으로 헤일리는 회사의 사고 대응을 성공적으로 관리할 수 있었습니다.
스펜서는 이성적으로 행동한다는 것은 보안을 BD 직원이 아닌 회사 내 보안 부서가 처리하도록 하는 것이라고 답했습니다. 마찬가지로 인사부(HR)도 사고 예방을 위해 직원들을 더 잘 교육해야 한다고 그는 말했습니다. 그는 Nationwide Grill 직원들이 회사의 개인정보 보호 프로그램과 관련하여 인사부와 윤리 부서에서 보낸 포스터, 이메일, 메모에 압도당하고 있다고 지적했습니다. 정보의 양과 중복으로 인해 이러한 정보들이 완전히 무시되는 경우가 많습니다.
스펜서는 "회사는 개인정보 보호 프로그램에 전념하고 모든 직원을 대상으로 한 달에 한 번 정기적인 대면 교육을 실시해야 합니다."라고 말했습니다. 앨리스는 그 제안이 의도는 좋지만 현실적으로 불가능하다고 답했습니다. 많은 지사가 있기 때문에 각 지역 인사 부서는 교육 일정을 유연하게 운영해야 합니다. 나탈리아는 조용히 동의했습니다.
이 시나리오를 바탕으로 Nationwide Grill은 무엇을 통해 회사의 개인정보 보호 프로그램에 대한 직원들의 인식을 높여야 할까요?
CIPM 문제 157
일반 데이터 보호 규정(GDPR)에 따라 요구되는 데이터 보호 영향 평가(DPIA) 프로세스에 대한 다음 중 어느 것이 사실입니까?
CIPM 문제 158
대본
다음 질문에 답하려면 다음을 사용하세요.
벤은 고객을 위해 조명 솔루션을 디자인하는 회사인 IgNight, Inc.의 IT 부서에서 근무합니다.
IgNight의 고객층은 주로 미국 사무실로 구성되어 있지만, 일부 개인은 조명기구의 독특한 미적 감각과 에너지 절약 디자인에 깊은 인상을 받아 전 세계 자택에 IgNight 설치를 요청하기도 했습니다.
어느 일요일 아침, 벤은 회사 노트북으로 다가오는 음악 페스티벌 티켓을 구매하던 중 회사 파일에서 이상한 사용자 활동을 발견했습니다. 대충 살펴보니 모든 데이터는 제자리에 있는 것처럼 보였지만, 무언가 잘못되었다는 느낌을 떨칠 수가 없었습니다. 동료가 예정에 없던 유지 보수 작업을 하고 있을 가능성도 있지만, 회사 보안팀에서 보낸 이메일을 떠올렸습니다. 업계를 겨냥한 악의적인 공격 집단의 공격에 대비하라는 내용이었습니다.
벤은 성실한 직원으로 회사를 지키고 싶지만, 주말에 열심히 일하는 동료들을 방해하고 싶지 않습니다. 그는 내일 아침 일찍 이 문제를 매니저와 논의할 예정이지만, 이 분야에 대한 자신의 지식을 입증하고 승진을 위해 적극적으로 설득할 준비를 하고 싶어 합니다.
다음 단계를 결정하기 위해 Ben이 검토해야 할 가장 적절한 내부 가이드는 무엇일까요?
다음 질문에 답하려면 다음을 사용하세요.
벤은 고객을 위해 조명 솔루션을 디자인하는 회사인 IgNight, Inc.의 IT 부서에서 근무합니다.
IgNight의 고객층은 주로 미국 사무실로 구성되어 있지만, 일부 개인은 조명기구의 독특한 미적 감각과 에너지 절약 디자인에 깊은 인상을 받아 전 세계 자택에 IgNight 설치를 요청하기도 했습니다.
어느 일요일 아침, 벤은 회사 노트북으로 다가오는 음악 페스티벌 티켓을 구매하던 중 회사 파일에서 이상한 사용자 활동을 발견했습니다. 대충 살펴보니 모든 데이터는 제자리에 있는 것처럼 보였지만, 무언가 잘못되었다는 느낌을 떨칠 수가 없었습니다. 동료가 예정에 없던 유지 보수 작업을 하고 있을 가능성도 있지만, 회사 보안팀에서 보낸 이메일을 떠올렸습니다. 업계를 겨냥한 악의적인 공격 집단의 공격에 대비하라는 내용이었습니다.
벤은 성실한 직원으로 회사를 지키고 싶지만, 주말에 열심히 일하는 동료들을 방해하고 싶지 않습니다. 그는 내일 아침 일찍 이 문제를 매니저와 논의할 예정이지만, 이 분야에 대한 자신의 지식을 입증하고 승진을 위해 적극적으로 설득할 준비를 하고 싶어 합니다.
다음 단계를 결정하기 위해 Ben이 검토해야 할 가장 적절한 내부 가이드는 무엇일까요?
CIPM 문제 159
대본
다음 질문에 답하려면 다음을 사용하세요.
아미라는 NatGen의 갑작스러운 확장에 매우 기뻐하고 있습니다. 오랜 사업 파트너인 새디와 함께 공동 최고경영자(CEO)를 맡고 있는 아미라는 NatGen이 친환경 에너지 시장의 주요 경쟁사로 성장하는 모습을 지켜봐 왔습니다. 현재 NatGen의 제품 라인에는 풍력 터빈, 태양광 패널, 지열 시스템 장비가 포함됩니다. 뛰어난 개발자 팀 덕분에 NatGen의 제품 라인은 앞으로도 계속 성장할 것입니다.
확장과 함께 아미라와 세이디는 회사 성장 관리를 위해 새로 영입된 고위 임원진으로부터 조언을 받았습니다. 최근 제안된 사항 중 하나는 개인정보 보호법과 회사 자체 개인정보 보호정책을 준수하기 위해 회사의 법률 및 보안 기능을 통합하는 것이었습니다. 아미라는 각 부서가 고객 데이터를 각자의 필요에 가장 적합한 방식으로 사용, 수집, 저장 및 폐기할 수 있기를 바라기 때문에 이러한 제안이 지나치게 복잡하게 들릴 수 있다고 생각합니다. 그녀는 행정적 감독과 복잡한 구조가 직원들의 혁신적인 업무 수행을 방해하는 것을 원치 않습니다.
새디도 비슷한 전망을 가지고 있습니다. 새디는 신임 최고정보책임자(CIO)가 새로운 개인정보 보호 프로그램 설계에 불필요하게 긴 일정을 제안했다고 생각합니다. 새디는 NatGen이 고객 및 직원 데이터의 전자 저장에 최상의 장비를 사용할 것이라고 약속했습니다. 새디에게 필요한 것은 장비 목록과 예상 비용뿐입니다. 하지만 CIO는 회사가 그 단계에 도달하기 전에 고려해야 할 많은 사항들이 있다고 주장합니다.
그럼에도 불구하고, 세이디와 아미라는 직원들에게 업무에 집중할 수 있는 공간을 제공하는 것을 고집합니다. 두 CEO 모두 직원 정책 준수 여부 모니터링을 하위 관리자에게 맡기고 싶어 합니다. 아미라와 세이디는 이러한 관리자들이 각 부서에 가장 적합한 방식으로 회사 개인정보 보호 정책을 조정할 수 있다고 생각합니다.
NatGen의 CEO들은 녹색 에너지를 장려한다는 명목으로 개인정보 보호정책을 유연하게 해석하더라도 데이터가 항상 정상적인 사업 활동에서 사용되는 한 고객 기반에서 아무런 우려를 불러일으키지 않을 것이라는 사실을 알고 있습니다.
아마도 세이디와 아미라에게 가장 당혹스러웠던 것은 CIO가 개인정보 보호 준수 핫라인을 설치하자고 제안한 것이었을 것입니다. 세이디와 아미라는 이 부분에 대해서는 양보했지만, 직원들이 개인정보 보호 정책 위반 신고를 번갈아 처리하도록 허용함으로써 타협점을 찾고자 합니다. 직원들은 특별한 준비가 필요 없기 때문에 구현이 쉬울 것입니다. 접수된 우려 사항은 간단히 문서화하기만 하면 됩니다.
세이디와 아미라는 원칙을 고수하고 기업 문화가 창의성과 직원 사기를 저해하는 것을 막는 것이 쉽지 않다는 것을 잘 알고 있습니다. 모든 고위 직원들이 독특한 접근 방식을 시도하는 것의 이점을 깨닫기를 바랍니다.
아미라와 세이디가 회사의 개인정보 보호 정책을 준수하겠다는 생각을 견제하지 않는다면, 연방통신위원회(FCC)가 NatGen에 대해 무슨 이유로 조치를 취할 가능성이 있을까?
다음 질문에 답하려면 다음을 사용하세요.
아미라는 NatGen의 갑작스러운 확장에 매우 기뻐하고 있습니다. 오랜 사업 파트너인 새디와 함께 공동 최고경영자(CEO)를 맡고 있는 아미라는 NatGen이 친환경 에너지 시장의 주요 경쟁사로 성장하는 모습을 지켜봐 왔습니다. 현재 NatGen의 제품 라인에는 풍력 터빈, 태양광 패널, 지열 시스템 장비가 포함됩니다. 뛰어난 개발자 팀 덕분에 NatGen의 제품 라인은 앞으로도 계속 성장할 것입니다.
확장과 함께 아미라와 세이디는 회사 성장 관리를 위해 새로 영입된 고위 임원진으로부터 조언을 받았습니다. 최근 제안된 사항 중 하나는 개인정보 보호법과 회사 자체 개인정보 보호정책을 준수하기 위해 회사의 법률 및 보안 기능을 통합하는 것이었습니다. 아미라는 각 부서가 고객 데이터를 각자의 필요에 가장 적합한 방식으로 사용, 수집, 저장 및 폐기할 수 있기를 바라기 때문에 이러한 제안이 지나치게 복잡하게 들릴 수 있다고 생각합니다. 그녀는 행정적 감독과 복잡한 구조가 직원들의 혁신적인 업무 수행을 방해하는 것을 원치 않습니다.
새디도 비슷한 전망을 가지고 있습니다. 새디는 신임 최고정보책임자(CIO)가 새로운 개인정보 보호 프로그램 설계에 불필요하게 긴 일정을 제안했다고 생각합니다. 새디는 NatGen이 고객 및 직원 데이터의 전자 저장에 최상의 장비를 사용할 것이라고 약속했습니다. 새디에게 필요한 것은 장비 목록과 예상 비용뿐입니다. 하지만 CIO는 회사가 그 단계에 도달하기 전에 고려해야 할 많은 사항들이 있다고 주장합니다.
그럼에도 불구하고, 세이디와 아미라는 직원들에게 업무에 집중할 수 있는 공간을 제공하는 것을 고집합니다. 두 CEO 모두 직원 정책 준수 여부 모니터링을 하위 관리자에게 맡기고 싶어 합니다. 아미라와 세이디는 이러한 관리자들이 각 부서에 가장 적합한 방식으로 회사 개인정보 보호 정책을 조정할 수 있다고 생각합니다.
NatGen의 CEO들은 녹색 에너지를 장려한다는 명목으로 개인정보 보호정책을 유연하게 해석하더라도 데이터가 항상 정상적인 사업 활동에서 사용되는 한 고객 기반에서 아무런 우려를 불러일으키지 않을 것이라는 사실을 알고 있습니다.
아마도 세이디와 아미라에게 가장 당혹스러웠던 것은 CIO가 개인정보 보호 준수 핫라인을 설치하자고 제안한 것이었을 것입니다. 세이디와 아미라는 이 부분에 대해서는 양보했지만, 직원들이 개인정보 보호 정책 위반 신고를 번갈아 처리하도록 허용함으로써 타협점을 찾고자 합니다. 직원들은 특별한 준비가 필요 없기 때문에 구현이 쉬울 것입니다. 접수된 우려 사항은 간단히 문서화하기만 하면 됩니다.
세이디와 아미라는 원칙을 고수하고 기업 문화가 창의성과 직원 사기를 저해하는 것을 막는 것이 쉽지 않다는 것을 잘 알고 있습니다. 모든 고위 직원들이 독특한 접근 방식을 시도하는 것의 이점을 깨닫기를 바랍니다.
아미라와 세이디가 회사의 개인정보 보호 정책을 준수하겠다는 생각을 견제하지 않는다면, 연방통신위원회(FCC)가 NatGen에 대해 무슨 이유로 조치를 취할 가능성이 있을까?
CIPM 문제 160
조직의 내부 감사팀은 다음을 제외한 모든 작업을 수행해야 합니다.