CIPM 문제 46
조직의 사업 연속성 계획 또는 재해 복구 계획에는 일반적으로 무엇이 포함되지 않습니까?
CIPM 문제 47
대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
페니는 최근 온라인 생활용품 판매업체인 에이스 스페이스(Ace Space)에 개인정보보호책임자로 합류했습니다. 캘리포니아에 본사를 둔 이 회사는 작년 한 소셜 미디어 인플루언서의 홍보 덕분에 유럽 연합(EU) 지역에서 매출이 급증했고, 이러한 확장을 지원하기 위해 아일랜드에 지역 사무소를 설립했습니다. 페니는 에이스 스페이스의 업무 방식을 파악하고 자신의 개인정보보호 우선순위를 정하기 위해 여러 동료들과 만나 그들의 업무와 규정 준수 노력에 대해 이야기를 나눌 예정입니다.
페니의 마케팅 동료는 새로운 매출과 회사의 계획에 들떠 있지만, 페니 때문에 자신이 계획했던 성장 기회가 줄어들까 봐 걱정하기도 합니다. 그는 페니에게 "휴게실에서 누군가 새로운 개인정보 보호법에 대해 이야기하는 걸 들었는데, 우리 회사에는 별 영향이 없을 것 같아. 우리는 작은 회사잖아. 온라인으로 액세서리만 파는 회사인데, 진짜 위험이 뭐겠어?"라고 말합니다. 그는 또한 프로젝트를 서둘러 완료하기 위해 여러 소규모 업체와 협력하고 있다고도 말했습니다. "마감일을 맞춰야 손해를 보지. 계약서에 서명하고 재무팀의 짐에게 결제를 진행하라고 하면 돼. 계약서를 검토하는 데는 시간이 너무 많이 걸리는데, 그럴 여유가 없거든." 페니는 IT팀과의 회의에서 에이스 스페이스가 웹사이트를 악의적인 활동으로부터 보호하기 위해 여러 가지 예방 조치를 취했지만, 물리적인 파일이나 내부 인프라에는 같은 수준의 관리를 하지 않았다는 사실을 알게 됩니다. IT팀 동료는 전 직원이 퇴사하면서 재무 데이터가 담긴 암호화된 USB 메모리를 분실했다고 페니에게 전했습니다. 그 회사는 작년에 피싱 공격의 피해를 입은 후 고객 데이터베이스 접근 권한을 거의 잃을 뻔했습니다. 페니는 IT 동료로부터 IT 팀이
"뭘 해야 할지, 누가 뭘 해야 할지 몰랐어요. 관련 교육을 받은 적도 없었지만, 저희는 소규모 팀이라 결국에는 잘 해결됐어요." 페니는 이러한 문제들이 에이스 스페이스의 개인정보 보호 및 데이터 보안을 위협할까 봐 우려하고 있습니다.
페니는 회사가 해외 매출 확대를 위한 탄탄한 계획을 가지고 있음을 알고 있으며, CEO와 긴밀히 협력하여 조직의 데이터 관리 방식을 혁신할 것입니다. 그녀의 목표는 회사 내에 강력한 개인정보 보호 문화를 조성하는 것입니다.
페니는 오늘 에이스 스페이스의 CEO와 회의를 갖고 있으며, 첫인상과 향후 계획에 대한 개요를 전달해 달라는 요청을 받았습니다.
페니가 에이스 스페이스가 보유한 개인 데이터의 위치, 분류 및 처리 목적을 이해하는 가장 좋은 방법은 무엇일까요?
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
페니는 최근 온라인 생활용품 판매업체인 에이스 스페이스(Ace Space)에 개인정보보호책임자로 합류했습니다. 캘리포니아에 본사를 둔 이 회사는 작년 한 소셜 미디어 인플루언서의 홍보 덕분에 유럽 연합(EU) 지역에서 매출이 급증했고, 이러한 확장을 지원하기 위해 아일랜드에 지역 사무소를 설립했습니다. 페니는 에이스 스페이스의 업무 방식을 파악하고 자신의 개인정보보호 우선순위를 정하기 위해 여러 동료들과 만나 그들의 업무와 규정 준수 노력에 대해 이야기를 나눌 예정입니다.
페니의 마케팅 동료는 새로운 매출과 회사의 계획에 들떠 있지만, 페니 때문에 자신이 계획했던 성장 기회가 줄어들까 봐 걱정하기도 합니다. 그는 페니에게 "휴게실에서 누군가 새로운 개인정보 보호법에 대해 이야기하는 걸 들었는데, 우리 회사에는 별 영향이 없을 것 같아. 우리는 작은 회사잖아. 온라인으로 액세서리만 파는 회사인데, 진짜 위험이 뭐겠어?"라고 말합니다. 그는 또한 프로젝트를 서둘러 완료하기 위해 여러 소규모 업체와 협력하고 있다고도 말했습니다. "마감일을 맞춰야 손해를 보지. 계약서에 서명하고 재무팀의 짐에게 결제를 진행하라고 하면 돼. 계약서를 검토하는 데는 시간이 너무 많이 걸리는데, 그럴 여유가 없거든." 페니는 IT팀과의 회의에서 에이스 스페이스가 웹사이트를 악의적인 활동으로부터 보호하기 위해 여러 가지 예방 조치를 취했지만, 물리적인 파일이나 내부 인프라에는 같은 수준의 관리를 하지 않았다는 사실을 알게 됩니다. IT팀 동료는 전 직원이 퇴사하면서 재무 데이터가 담긴 암호화된 USB 메모리를 분실했다고 페니에게 전했습니다. 그 회사는 작년에 피싱 공격의 피해를 입은 후 고객 데이터베이스 접근 권한을 거의 잃을 뻔했습니다. 페니는 IT 동료로부터 IT 팀이
"뭘 해야 할지, 누가 뭘 해야 할지 몰랐어요. 관련 교육을 받은 적도 없었지만, 저희는 소규모 팀이라 결국에는 잘 해결됐어요." 페니는 이러한 문제들이 에이스 스페이스의 개인정보 보호 및 데이터 보안을 위협할까 봐 우려하고 있습니다.
페니는 회사가 해외 매출 확대를 위한 탄탄한 계획을 가지고 있음을 알고 있으며, CEO와 긴밀히 협력하여 조직의 데이터 관리 방식을 혁신할 것입니다. 그녀의 목표는 회사 내에 강력한 개인정보 보호 문화를 조성하는 것입니다.
페니는 오늘 에이스 스페이스의 CEO와 회의를 갖고 있으며, 첫인상과 향후 계획에 대한 개요를 전달해 달라는 요청을 받았습니다.
페니가 에이스 스페이스가 보유한 개인 데이터의 위치, 분류 및 처리 목적을 이해하는 가장 좋은 방법은 무엇일까요?
CIPM 문제 48
대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
벤은 고객사를 위한 조명 솔루션을 설계하는 회사인 IgNight, Inc.의 IT 부서에서 근무합니다.
IgNight의 고객층은 주로 미국 내 사무실로 구성되어 있지만, 독특한 미적 감각과 에너지 절약형 디자인에 깊은 인상을 받은 개인 고객들이 전 세계 곳곳에서 자신의 집에도 IgNight 조명을 설치해달라고 요청하고 있습니다.
어느 일요일 아침, 벤은 회사 노트북으로 다가오는 음악 축제 티켓을 구매하던 중 회사 파일에서 평소와 다른 사용자 활동을 발견했습니다. 간단히 확인해 본 결과 데이터는 모두 제자리에 있는 것처럼 보였지만, 뭔가 잘못됐다는 느낌을 떨쳐낼 수 없었습니다. 동료가 예기치 않은 시스템 점검을 하고 있었을 가능성도 있었지만, 그는 회사 보안팀에서 보낸 이메일이 떠올랐습니다. 그 이메일에는 특정 업계를 표적으로 삼는 악의적인 공격 집단에 대한 경계를 강화하라는 내용이 담겨 있었습니다.
벤은 성실한 직원이며 회사를 지키고 싶어 하지만 주말에 열심히 일하는 동료들에게 폐를 끼치고 싶지는 않습니다. 그는 내일 아침 일찍 관리자와 이 문제에 대해 상의할 예정이지만, 자신의 전문 지식을 보여주고 승진을 설득할 수 있도록 미리 준비하고 싶어 합니다.
향후 IgNight가 이러한 유형의 보안 이벤트를 관리할 수 있도록 IT 팀을 준비시키는 가장 좋은 방법은 무엇일까요?
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
벤은 고객사를 위한 조명 솔루션을 설계하는 회사인 IgNight, Inc.의 IT 부서에서 근무합니다.
IgNight의 고객층은 주로 미국 내 사무실로 구성되어 있지만, 독특한 미적 감각과 에너지 절약형 디자인에 깊은 인상을 받은 개인 고객들이 전 세계 곳곳에서 자신의 집에도 IgNight 조명을 설치해달라고 요청하고 있습니다.
어느 일요일 아침, 벤은 회사 노트북으로 다가오는 음악 축제 티켓을 구매하던 중 회사 파일에서 평소와 다른 사용자 활동을 발견했습니다. 간단히 확인해 본 결과 데이터는 모두 제자리에 있는 것처럼 보였지만, 뭔가 잘못됐다는 느낌을 떨쳐낼 수 없었습니다. 동료가 예기치 않은 시스템 점검을 하고 있었을 가능성도 있었지만, 그는 회사 보안팀에서 보낸 이메일이 떠올랐습니다. 그 이메일에는 특정 업계를 표적으로 삼는 악의적인 공격 집단에 대한 경계를 강화하라는 내용이 담겨 있었습니다.
벤은 성실한 직원이며 회사를 지키고 싶어 하지만 주말에 열심히 일하는 동료들에게 폐를 끼치고 싶지는 않습니다. 그는 내일 아침 일찍 관리자와 이 문제에 대해 상의할 예정이지만, 자신의 전문 지식을 보여주고 승진을 설득할 수 있도록 미리 준비하고 싶어 합니다.
향후 IgNight가 이러한 유형의 보안 이벤트를 관리할 수 있도록 IT 팀을 준비시키는 가장 좋은 방법은 무엇일까요?
CIPM 문제 49
대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
콘솔리데이티드 레코드 코퍼레이션의 데이터 보호 책임자로서, 당신은 지금까지 이뤄낸 성과에 당연히 만족하고 있을 것입니다. 당신은 비교적 경미한 데이터 유출 사고들이 잇따라 발생한 후 규제 기관으로부터 경고를 받은 뒤 채용되었습니다. 다행히도, 당신이 회사에 재직한 3년 동안 보고할 만한 사고는 단 한 건도 없었습니다. 오히려 당신은 자신의 데이터 보호 프로그램을 데이터 저장 업계의 다른 기업들이 자체 프로그램 개발에 참고할 만한 모범 사례라고 생각합니다.
당신은 Consolidated에서 뒤죽박죽 섞인 정책과 절차들을 바로잡는 프로그램을 시작했고, 부서 간 및 운영 전반에 걸쳐 일관성을 확보하기 위해 노력했습니다. 그 과정에서 프로그램 책임자인 운영 담당 부사장과 변화의 필요성을 명확히 인식하고 있던 개인정보보호팀의 도움을 받았습니다.
처음에 당신의 업무는 경영진과 데이터 처리 및 고객 응대를 담당하는 현장 직원들을 포함한 회사 내 "기득권층"으로부터 별다른 신뢰나 열의를 얻지 못했습니다. 하지만 발생한 데이터 유출 사고로 인한 비용뿐만 아니라 현재 운영 상태를 고려했을 때 쉽게 발생할 수 있는 예상 비용까지 보여주는 지표를 활용하자, 곧 경영진과 주요 의사 결정권자들의 지지를 얻을 수 있었습니다. 다른 직원들은 다소 저항적이었지만, 각 부서와의 대면 회의와 기본 개인정보 보호 교육 프로그램 개발을 통해 적절한 절차를 마련하는 데 필요한 충분한 동의를 얻을 수 있었습니다.
이제 개인정보 보호는 개인정보 또는 보호 대상 데이터를 다루는 모든 현행 업무에서 필수적인 요소로 자리 잡았으며, 모든 기술 개발 과정의 최종 결과물에 반드시 포함되어야 합니다. 귀하의 접근 방식은 체계적이지는 않지만 상당히 효과적입니다.
이제 여러분은 다음과 같은 질문들을 고민하게 됩니다. 데이터 유출 방지 프로그램을 넘어 프로그램을 유지하고 발전시키려면 무엇을 해야 할까요? 성공을 발판 삼아 어떻게 더 나아갈 수 있을까요? 다음 단계는 무엇일까요?
다음 중 데이터 보호 구현을 위한 시스템적 접근 방식의 지침으로 가장 효과적으로 사용될 수 있는 것은 무엇입니까?
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
콘솔리데이티드 레코드 코퍼레이션의 데이터 보호 책임자로서, 당신은 지금까지 이뤄낸 성과에 당연히 만족하고 있을 것입니다. 당신은 비교적 경미한 데이터 유출 사고들이 잇따라 발생한 후 규제 기관으로부터 경고를 받은 뒤 채용되었습니다. 다행히도, 당신이 회사에 재직한 3년 동안 보고할 만한 사고는 단 한 건도 없었습니다. 오히려 당신은 자신의 데이터 보호 프로그램을 데이터 저장 업계의 다른 기업들이 자체 프로그램 개발에 참고할 만한 모범 사례라고 생각합니다.
당신은 Consolidated에서 뒤죽박죽 섞인 정책과 절차들을 바로잡는 프로그램을 시작했고, 부서 간 및 운영 전반에 걸쳐 일관성을 확보하기 위해 노력했습니다. 그 과정에서 프로그램 책임자인 운영 담당 부사장과 변화의 필요성을 명확히 인식하고 있던 개인정보보호팀의 도움을 받았습니다.
처음에 당신의 업무는 경영진과 데이터 처리 및 고객 응대를 담당하는 현장 직원들을 포함한 회사 내 "기득권층"으로부터 별다른 신뢰나 열의를 얻지 못했습니다. 하지만 발생한 데이터 유출 사고로 인한 비용뿐만 아니라 현재 운영 상태를 고려했을 때 쉽게 발생할 수 있는 예상 비용까지 보여주는 지표를 활용하자, 곧 경영진과 주요 의사 결정권자들의 지지를 얻을 수 있었습니다. 다른 직원들은 다소 저항적이었지만, 각 부서와의 대면 회의와 기본 개인정보 보호 교육 프로그램 개발을 통해 적절한 절차를 마련하는 데 필요한 충분한 동의를 얻을 수 있었습니다.
이제 개인정보 보호는 개인정보 또는 보호 대상 데이터를 다루는 모든 현행 업무에서 필수적인 요소로 자리 잡았으며, 모든 기술 개발 과정의 최종 결과물에 반드시 포함되어야 합니다. 귀하의 접근 방식은 체계적이지는 않지만 상당히 효과적입니다.
이제 여러분은 다음과 같은 질문들을 고민하게 됩니다. 데이터 유출 방지 프로그램을 넘어 프로그램을 유지하고 발전시키려면 무엇을 해야 할까요? 성공을 발판 삼아 어떻게 더 나아갈 수 있을까요? 다음 단계는 무엇일까요?
다음 중 데이터 보호 구현을 위한 시스템적 접근 방식의 지침으로 가장 효과적으로 사용될 수 있는 것은 무엇입니까?
CIPM 문제 50
미국에 있는 다국적 온라인 소매 회사의 임원이 법률에서 요구하는 사항을 넘어 회사 개인정보 보호 프로그램을 개발하는 데 필요한 지침을 구하고 있습니다.
경영진이 참고하기에 가장 효과적인 자료는 무엇일까요?
경영진이 참고하기에 가장 효과적인 자료는 무엇일까요?
