CIPM 문제 211
SCENARIO
Please use the following to answer the next question
최근 InStyte Date Corp에서 개인정보 보호 관리자로 채용되어 InStyle Data Corp가 새로운 데이터 보호법을 준수하도록 지원했습니다. 이 법은 기업이 개인 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 취하도록 규정하고 있습니다. 위반 시 막대한 벌금이 부과되며, 입법부는 새로운 법을 준수하지 않는 기업에 대해 적극적으로 조치를 취할 것이라고 밝혔습니다. 귀하는 보안 관리자를 선임하여 InStyle Data Corp의 현재 상황을 검토하고 "합리적이고 적절한 보안" 요건을 충족할 수 있도록 기업에 자문을 제공해야 합니다. InStyle Data Corp는 빠르게 성장했지만 데이터 인벤토리를 유지하거나 데이터 매핑을 완료하지 않았습니다. InStyte Data Corp는 또한 임시방편으로 보안 관련 정책을 개발했으며, 그중 상당수는 시행되지 않았습니다. InStyle Data Corp의 제품 개발 및 테스트에 참여하는 여러 팀의 이직률이 높고 역할이 명확하게 정의되어 있지 않습니다. 어떤 제품이 어떤 목적으로 어떤 개인 정보를 처리하는지 설명하는 문서가 거의 없습니다. 법이 시행될 때까지 InStyle Data Corp가 규정을 준수할 수 있도록 이 프로젝트에 대한 작업을 즉시 시작해야 합니다. 귀하와 귀하의 파트너는 InStyle Data Corp가 민감한 개인 정보가 포함된 파일을 고객에게 정기적으로 이메일을 통해 전송하며, 때로는 InStyle Data Corp 직원의 개인 이메일 계정을 사용한다는 사실을 알게 되었습니다. 또한 InStyle Data Corp의 개인정보 보호 및 정보 보안 팀은 새로운 개인 정보 흐름, InStyle Data Corp에서 개발한 개인 정보 처리 신제품, 또는 기존 InStyle Data Corp 제품의 업데이트로 인해 제품 또는 업데이트가 출시될 때까지 개인 정보 처리 내용이나 방식이 변경될 수 있는 정보를 받지 못한다는 사실도 알게 되었습니다.
InStyle Date Corp의 테스트 및 개발 환경 로그를 검토한 결과, InStyle Data Corp가 때때로 요청하는 InStyle Data Corp 직원이나 계약자에게 로그인 자격 증명을 제공한다는 사실을 발견했습니다.
테스트 환경에는 더미 데이터만 있지만, 개발 환경에는 사회보장번호, 가족 정보, 재무 정보를 비롯한 개인 데이터가 있습니다. 모든 자격증을 소지한 InStyle Data Corp 직원과 계약자는 자신의 역할이나 진행 중인 프로젝트에 관계 없이 두 환경 모두에서 개인 데이터를 추적하고 삭제할 수 있습니다.
귀하와 귀하의 파트너는 발견한 문제점과 권장 시정 조치, 구현 측정 방법을 인용하여 갭 평가를 제공합니다. InStyle Data Corp는 권장되는 보안 제어를 모두 구현합니다. 귀하는 모든 단계에서 개인 데이터를 적절하게 보호하기 위해 취한 프로세스, 역할, 제어 및 조치를 검토합니다. 그러나 귀하는 모니터링 계획이 없고 업데이트된 정책 및 절차 위반에 대한 제재를 다루는 조치가 전혀 없다는 것을 깨닫습니다. InStyle Data Corp는 그러한 모니터링을 위한 리소스가 없다고 주장하며 반박합니다.
What aspect of the data management life cycle will still be unaddressed it you cannot find the resources to become compliant?
Please use the following to answer the next question
최근 InStyte Date Corp에서 개인정보 보호 관리자로 채용되어 InStyle Data Corp가 새로운 데이터 보호법을 준수하도록 지원했습니다. 이 법은 기업이 개인 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 취하도록 규정하고 있습니다. 위반 시 막대한 벌금이 부과되며, 입법부는 새로운 법을 준수하지 않는 기업에 대해 적극적으로 조치를 취할 것이라고 밝혔습니다. 귀하는 보안 관리자를 선임하여 InStyle Data Corp의 현재 상황을 검토하고 "합리적이고 적절한 보안" 요건을 충족할 수 있도록 기업에 자문을 제공해야 합니다. InStyle Data Corp는 빠르게 성장했지만 데이터 인벤토리를 유지하거나 데이터 매핑을 완료하지 않았습니다. InStyte Data Corp는 또한 임시방편으로 보안 관련 정책을 개발했으며, 그중 상당수는 시행되지 않았습니다. InStyle Data Corp의 제품 개발 및 테스트에 참여하는 여러 팀의 이직률이 높고 역할이 명확하게 정의되어 있지 않습니다. 어떤 제품이 어떤 목적으로 어떤 개인 정보를 처리하는지 설명하는 문서가 거의 없습니다. 법이 시행될 때까지 InStyle Data Corp가 규정을 준수할 수 있도록 이 프로젝트에 대한 작업을 즉시 시작해야 합니다. 귀하와 귀하의 파트너는 InStyle Data Corp가 민감한 개인 정보가 포함된 파일을 고객에게 정기적으로 이메일을 통해 전송하며, 때로는 InStyle Data Corp 직원의 개인 이메일 계정을 사용한다는 사실을 알게 되었습니다. 또한 InStyle Data Corp의 개인정보 보호 및 정보 보안 팀은 새로운 개인 정보 흐름, InStyle Data Corp에서 개발한 개인 정보 처리 신제품, 또는 기존 InStyle Data Corp 제품의 업데이트로 인해 제품 또는 업데이트가 출시될 때까지 개인 정보 처리 내용이나 방식이 변경될 수 있는 정보를 받지 못한다는 사실도 알게 되었습니다.
InStyle Date Corp의 테스트 및 개발 환경 로그를 검토한 결과, InStyle Data Corp가 때때로 요청하는 InStyle Data Corp 직원이나 계약자에게 로그인 자격 증명을 제공한다는 사실을 발견했습니다.
테스트 환경에는 더미 데이터만 있지만, 개발 환경에는 사회보장번호, 가족 정보, 재무 정보를 비롯한 개인 데이터가 있습니다. 모든 자격증을 소지한 InStyle Data Corp 직원과 계약자는 자신의 역할이나 진행 중인 프로젝트에 관계 없이 두 환경 모두에서 개인 데이터를 추적하고 삭제할 수 있습니다.
귀하와 귀하의 파트너는 발견한 문제점과 권장 시정 조치, 구현 측정 방법을 인용하여 갭 평가를 제공합니다. InStyle Data Corp는 권장되는 보안 제어를 모두 구현합니다. 귀하는 모든 단계에서 개인 데이터를 적절하게 보호하기 위해 취한 프로세스, 역할, 제어 및 조치를 검토합니다. 그러나 귀하는 모니터링 계획이 없고 업데이트된 정책 및 절차 위반에 대한 제재를 다루는 조치가 전혀 없다는 것을 깨닫습니다. InStyle Data Corp는 그러한 모니터링을 위한 리소스가 없다고 주장하며 반박합니다.
What aspect of the data management life cycle will still be unaddressed it you cannot find the resources to become compliant?
CIPM 문제 212
데이터 파기 서비스를 아웃소싱할 때 가장 중요한 것은 무엇입니까?
CIPM 문제 213
대본
다음 질문에 답하려면 다음을 사용하세요.
헨리 홈 퍼니싱(Henry Home Furnishings)은 거의 40년 동안 고급 가구를 제작해 왔습니다. 그러나 새 주인인 안톤(Anton)은 회사 본사를 둘러본 후 다소 혼란스러운 상황을 발견했습니다. 삼촌 헨리는 항상 데이터 처리보다는 생산에 집중했기 때문에 안톤은 걱정이 되었습니다. 여러 창고에서 그는 현직 및 전직 직원과 고객의 개인 정보가 담긴 것으로 보이는 서류 파일, 디스크, 그리고 오래된 컴퓨터를 발견했습니다. 안톤은 단 한 번의 침입만으로도 단골 고객과의 관계가 돌이킬 수 없을 정도로 손상될 수 있다는 것을 알고 있습니다. 그는 개인 정보 유출을 완전히 차단하는 것을 목표로 삼고 있습니다.
이를 위해 안톤은 원래 회사 건물에 출입하는 인원을 제한할 계획이었습니다. 그러나 삼촌의 부사장이자 오랜 친구인 케네스는 회사에 보관된 모든 종이 기록을 전자 저장 장치로 전환하는 방안을 선호하며 안톤의 제안을 보류하려 합니다. 케네스는 이 과정이 1~2년밖에 걸리지 않을 것이라고 생각합니다. 안톤은 이 아이디어를 좋아합니다. 그는 자신과 케네스만 접근할 수 있는 비밀번호로 보호되는 시스템을 구상하고 있습니다.
안톤은 또한 대부분의 자회사를 매각할 계획입니다. 이는 그의 업무를 더 쉽게 할 뿐만 아니라 저장된 데이터 관리도 간소화할 것입니다. 길 건너편에 있는 미술관이나 주방용품점 같은 자회사의 책임자들이 각자의 정보 관리를 담당하게 될 것입니다. 그렇게 되면 안톤이 보유하고 있는 불필요한 자회사 데이터는 향후 몇 년 안에 모두 폐기될 수 있습니다.
최근 보안 사고를 접한 안톤은 고객에게 알리는 것이 또 다른 중요한 단계라는 것을 깨달았습니다. 케네스는 문제의 두 개의 하드 드라이브 분실은 우려할 만한 일이 아니라고 주장합니다. 모든 데이터는 암호화되어 있었고 민감한 내용이 아니었습니다. 하지만 안톤은 위험을 감수하고 싶지 않았습니다. 그는 안전을 위해 모든 직원과 고객에게 안내문을 발송할 계획입니다.
안톤은 개인정보 보호와 관련된 모든 법률, 규제 및 시장 요건 준수 여부도 확인해야 합니다. 케네스는 약 10년 전 회사의 온라인 사업 개발을 감독했지만, 안톤은 최근 온라인 마케팅 법률에 대한 이해도가 부족합니다. 안톤은 법률 분야 경력이 있는 다른 신뢰할 수 있는 직원에게 규정 준수 평가 업무를 맡기고 있습니다. 철저한 분석 결과, 안톤은 회사가 향후 5년 동안 안전할 것으로 판단하고, 그 시점에 추가 점검을 요청할 수 있습니다.
이 분석을 문서화하면 감사인이 실사를 철저히 했다는 것을 보여줄 수 있습니다.
안톤은 회사 경영 개선을 위한 긴 여정을 시작했지만, 그 노력이 가치 있다는 것을 알고 있습니다. 안톤은 삼촌의 유산이 앞으로도 오랫동안 이어지기를 바랍니다.
Anton이 자신과 Kenneth의 데이터 접근을 제한하려는 계획을 실행할 경우, 데이터 수명 주기 관리(DLM)의 어떤 중요한 원칙이 손상될 가능성이 가장 높습니까?
다음 질문에 답하려면 다음을 사용하세요.
헨리 홈 퍼니싱(Henry Home Furnishings)은 거의 40년 동안 고급 가구를 제작해 왔습니다. 그러나 새 주인인 안톤(Anton)은 회사 본사를 둘러본 후 다소 혼란스러운 상황을 발견했습니다. 삼촌 헨리는 항상 데이터 처리보다는 생산에 집중했기 때문에 안톤은 걱정이 되었습니다. 여러 창고에서 그는 현직 및 전직 직원과 고객의 개인 정보가 담긴 것으로 보이는 서류 파일, 디스크, 그리고 오래된 컴퓨터를 발견했습니다. 안톤은 단 한 번의 침입만으로도 단골 고객과의 관계가 돌이킬 수 없을 정도로 손상될 수 있다는 것을 알고 있습니다. 그는 개인 정보 유출을 완전히 차단하는 것을 목표로 삼고 있습니다.
이를 위해 안톤은 원래 회사 건물에 출입하는 인원을 제한할 계획이었습니다. 그러나 삼촌의 부사장이자 오랜 친구인 케네스는 회사에 보관된 모든 종이 기록을 전자 저장 장치로 전환하는 방안을 선호하며 안톤의 제안을 보류하려 합니다. 케네스는 이 과정이 1~2년밖에 걸리지 않을 것이라고 생각합니다. 안톤은 이 아이디어를 좋아합니다. 그는 자신과 케네스만 접근할 수 있는 비밀번호로 보호되는 시스템을 구상하고 있습니다.
안톤은 또한 대부분의 자회사를 매각할 계획입니다. 이는 그의 업무를 더 쉽게 할 뿐만 아니라 저장된 데이터 관리도 간소화할 것입니다. 길 건너편에 있는 미술관이나 주방용품점 같은 자회사의 책임자들이 각자의 정보 관리를 담당하게 될 것입니다. 그렇게 되면 안톤이 보유하고 있는 불필요한 자회사 데이터는 향후 몇 년 안에 모두 폐기될 수 있습니다.
최근 보안 사고를 접한 안톤은 고객에게 알리는 것이 또 다른 중요한 단계라는 것을 깨달았습니다. 케네스는 문제의 두 개의 하드 드라이브 분실은 우려할 만한 일이 아니라고 주장합니다. 모든 데이터는 암호화되어 있었고 민감한 내용이 아니었습니다. 하지만 안톤은 위험을 감수하고 싶지 않았습니다. 그는 안전을 위해 모든 직원과 고객에게 안내문을 발송할 계획입니다.
안톤은 개인정보 보호와 관련된 모든 법률, 규제 및 시장 요건 준수 여부도 확인해야 합니다. 케네스는 약 10년 전 회사의 온라인 사업 개발을 감독했지만, 안톤은 최근 온라인 마케팅 법률에 대한 이해도가 부족합니다. 안톤은 법률 분야 경력이 있는 다른 신뢰할 수 있는 직원에게 규정 준수 평가 업무를 맡기고 있습니다. 철저한 분석 결과, 안톤은 회사가 향후 5년 동안 안전할 것으로 판단하고, 그 시점에 추가 점검을 요청할 수 있습니다.
이 분석을 문서화하면 감사인이 실사를 철저히 했다는 것을 보여줄 수 있습니다.
안톤은 회사 경영 개선을 위한 긴 여정을 시작했지만, 그 노력이 가치 있다는 것을 알고 있습니다. 안톤은 삼촌의 유산이 앞으로도 오랫동안 이어지기를 바랍니다.
Anton이 자신과 Kenneth의 데이터 접근을 제한하려는 계획을 실행할 경우, 데이터 수명 주기 관리(DLM)의 어떤 중요한 원칙이 손상될 가능성이 가장 높습니까?
CIPM 문제 214
대본
다음 질문에 답하려면 다음을 사용하세요.
앨버트는 15년 동안 미국 우편 주문 회사인 트레저 박스(Treasure Box)에서 근무했습니다. 트레저 박스는 한때 전 세계에 장식용 양초를 판매했지만, 최근 미국 48개 주 내 고객으로만 배송을 제한하기로 결정했습니다. 오랜 경력에도 불구하고 앨버트는 관리직에서 종종 간과되곤 합니다. 승진하지 못한 것에 대한 좌절감과 최근 개인정보 보호 문제에 대한 관심이 앨버트가 긍정적인 변화를 만들어내는 주체가 되도록 동기를 부여했습니다.
그는 곧 새로 공고된 직책에 대한 면접을 볼 예정이며, 면접 중에 앨버트는 임원들에게 회사 개인정보 보호 프로그램의 허점을 알릴 계획입니다. 그는 회사의 구식 정책과 절차로 인한 부정적인 결과를 예방한 공로로 승진을 보장받을 것이라고 확신합니다.
예를 들어, Albert는 AICPA(미국공인회계사협회)/CICA(캐나다공인회계사협회)의 개인정보보호 성숙도 모델(PMM)에 대해 알게 되었습니다. Albert는 이 모델이 Treasure Box의 개인 정보 보호 능력을 측정하는 데 유용한 방법이라고 생각합니다. Albert는 Treasure Box가 이 모델의 최고 성숙도 요건을 충족하지 못한다는 것을 알게 되었습니다. Albert는 면접에서 고객에게 최고 수준의 보안을 제공하기 위해 Treasure Box가 이 수준을 충족하도록 지원하겠다고 약속했습니다.
앨버트는 면접에서 긍정적인 전망을 보여주고 싶어 합니다. 외부 위협으로부터 고객과 직원 개인 정보 보안에 대한 회사의 노력을 칭찬하고 싶어 합니다. 하지만 앨버트는 회사 내, 특히 직접 전화 마케팅 부문의 높은 이직률에 대해 우려하고 있습니다. 그는 매일 마케팅 업무를 위해 고용되는 낯선 얼굴들을 많이 보고, 점심 식당에서 장시간 근무와 저임금, 그리고 회사 절차를 노골적으로 무시하는 듯한 불만을 자주 듣습니다.
트레저 박스는 최근 두 건의 보안 사고를 겪었습니다. 회사는 내부 감사와 보안 강화를 통해 사고에 대응했습니다. 그러나 수익은 여전히 타격을 받고 있으며, 일화적인 증거에 따르면 많은 사람들이 여전히 불신을 품고 있는 것으로 보입니다. 앨버트는 회사의 회복을 돕고 싶어 합니다. 그는 대중이 알지 못하는 사고가 최소 한 건 있다는 것을 알고 있지만, 자세한 내용은 알지 못합니다. 그는 회사가 사고를 비밀로 유지하려는 것이 회사 평판에 더 큰 타격을 줄 수 있다고 생각합니다. 앨버트가 트레저 박스의 위상을 되찾는 데 기여하고자 하는 또 다른 방법은 고객 무료 전화 번호를 만들고, 우편을 통해 고객 문의에 더욱 효율적으로 대응하는 절차를 마련하는 것입니다.
앨버트는 개선 제안 외에도 회사의 최근 사업 전략에 대한 자신의 지식이 면접관들에게 좋은 인상을 줄 것이라고 생각합니다. 예를 들어, 앨버트는 회사가 앞으로 몇 주 안에 의료용품 회사를 인수할 계획이라는 것을 알고 있습니다.
앨버트는 미래지향적인 사고방식으로 면접을 보는 관리자들에게 자신이 그 자리에 적합한 사람이라는 점을 확신시키고자 합니다.
Albert는 최근 보안 사고에 대한 관찰을 바탕으로 Treasure Box의 우선순위로 다음 중 무엇을 제안해야 할까요?
다음 질문에 답하려면 다음을 사용하세요.
앨버트는 15년 동안 미국 우편 주문 회사인 트레저 박스(Treasure Box)에서 근무했습니다. 트레저 박스는 한때 전 세계에 장식용 양초를 판매했지만, 최근 미국 48개 주 내 고객으로만 배송을 제한하기로 결정했습니다. 오랜 경력에도 불구하고 앨버트는 관리직에서 종종 간과되곤 합니다. 승진하지 못한 것에 대한 좌절감과 최근 개인정보 보호 문제에 대한 관심이 앨버트가 긍정적인 변화를 만들어내는 주체가 되도록 동기를 부여했습니다.
그는 곧 새로 공고된 직책에 대한 면접을 볼 예정이며, 면접 중에 앨버트는 임원들에게 회사 개인정보 보호 프로그램의 허점을 알릴 계획입니다. 그는 회사의 구식 정책과 절차로 인한 부정적인 결과를 예방한 공로로 승진을 보장받을 것이라고 확신합니다.
예를 들어, Albert는 AICPA(미국공인회계사협회)/CICA(캐나다공인회계사협회)의 개인정보보호 성숙도 모델(PMM)에 대해 알게 되었습니다. Albert는 이 모델이 Treasure Box의 개인 정보 보호 능력을 측정하는 데 유용한 방법이라고 생각합니다. Albert는 Treasure Box가 이 모델의 최고 성숙도 요건을 충족하지 못한다는 것을 알게 되었습니다. Albert는 면접에서 고객에게 최고 수준의 보안을 제공하기 위해 Treasure Box가 이 수준을 충족하도록 지원하겠다고 약속했습니다.
앨버트는 면접에서 긍정적인 전망을 보여주고 싶어 합니다. 외부 위협으로부터 고객과 직원 개인 정보 보안에 대한 회사의 노력을 칭찬하고 싶어 합니다. 하지만 앨버트는 회사 내, 특히 직접 전화 마케팅 부문의 높은 이직률에 대해 우려하고 있습니다. 그는 매일 마케팅 업무를 위해 고용되는 낯선 얼굴들을 많이 보고, 점심 식당에서 장시간 근무와 저임금, 그리고 회사 절차를 노골적으로 무시하는 듯한 불만을 자주 듣습니다.
트레저 박스는 최근 두 건의 보안 사고를 겪었습니다. 회사는 내부 감사와 보안 강화를 통해 사고에 대응했습니다. 그러나 수익은 여전히 타격을 받고 있으며, 일화적인 증거에 따르면 많은 사람들이 여전히 불신을 품고 있는 것으로 보입니다. 앨버트는 회사의 회복을 돕고 싶어 합니다. 그는 대중이 알지 못하는 사고가 최소 한 건 있다는 것을 알고 있지만, 자세한 내용은 알지 못합니다. 그는 회사가 사고를 비밀로 유지하려는 것이 회사 평판에 더 큰 타격을 줄 수 있다고 생각합니다. 앨버트가 트레저 박스의 위상을 되찾는 데 기여하고자 하는 또 다른 방법은 고객 무료 전화 번호를 만들고, 우편을 통해 고객 문의에 더욱 효율적으로 대응하는 절차를 마련하는 것입니다.
앨버트는 개선 제안 외에도 회사의 최근 사업 전략에 대한 자신의 지식이 면접관들에게 좋은 인상을 줄 것이라고 생각합니다. 예를 들어, 앨버트는 회사가 앞으로 몇 주 안에 의료용품 회사를 인수할 계획이라는 것을 알고 있습니다.
앨버트는 미래지향적인 사고방식으로 면접을 보는 관리자들에게 자신이 그 자리에 적합한 사람이라는 점을 확신시키고자 합니다.
Albert는 최근 보안 사고에 대한 관찰을 바탕으로 Treasure Box의 우선순위로 다음 중 무엇을 제안해야 할까요?
CIPM 문제 215
어떤 상황에서 개인정보 영향평가(PIA)가 요구될 가능성이 가장 낮을까요?