CIPM 문제 1
대본
다음 질문에 답하실 때 아래 내용을 참고해 주세요.
당신은 최근 InStyle Data Corp에 개인정보 관리자로 채용되어 InStyle Data Corp가 새로운 데이터 보호법을 준수하도록 지원하는 업무를 맡게 되었습니다. 이 법은 기업이 개인 데이터를 보호하기 위해 합리적이고 적절한 보안 조치를 마련하도록 의무화하고 있습니다. 이 법을 위반할 경우 막대한 벌금이 부과되며, 입법부는 새로운 법을 준수하지 않는 기업에 대해 강력한 조치를 취할 것이라고 밝혔습니다. 당신은 보안 관리자와 함께 InStyle Data Corp의 현황을 검토하고 "합리적이고 적절한 보안" 요건을 충족할 수 있는 방안을 제시하는 임무를 맡았습니다. InStyle Data Corp는 급속도로 성장했지만 데이터 인벤토리나 데이터 매핑을 제대로 구축하지 못했습니다. 또한, 보안 관련 정책을 임시방편으로 수립했으며, 그중 상당수는 실제로 시행되지 않았습니다. InStyle Data Corp 제품 개발 및 테스트에 참여하는 여러 팀은 인력 변동이 잦고 역할 분담이 명확하지 않습니다. 어떤 제품이 어떤 목적으로 어떤 개인 데이터를 처리하는지에 대한 문서도 부족합니다. InStyle Data Corp가 법 시행 전에 법규를 준수할 수 있도록 이 프로젝트는 즉시 시작해야 합니다. 귀하와 귀하의 파트너는 InStyle Data Corp가 민감한 개인 정보가 포함된 파일을 고객에게 정기적으로 이메일로 전송하며, 때로는 InStyle Data Corp 직원의 개인 이메일 계정을 사용하는 것을 발견했습니다. 또한, InStyle Data Corp의 개인정보 보호 및 정보 보안 팀은 새로운 개인 정보 흐름, 개인 정보를 처리하는 InStyle Data Corp에서 개발한 새로운 제품, 또는 개인 정보 처리 방식이 변경될 수 있는 기존 InStyle Data Corp 제품 업데이트에 대해 제품 출시 이후에야 통보받는다는 사실을 알게 되었습니다.
InStyle Data Corp의 테스트 및 개발 환경 로그를 검토한 결과, InStyle Data Corp가 요청하는 모든 InStyle Data Corp 직원이나 계약업체에게 로그인 자격 증명을 제공하는 경우가 있음을 발견했습니다.
테스트 환경에는 더미 데이터만 포함되어 있지만 개발 환경에는 사회 보장 번호, 가족 정보 및 금융 정보를 포함한 개인 데이터가 포함되어 있습니다. InStyle Data Corp의 모든 자격을 갖춘 직원과 계약자는 직책이나 담당 프로젝트에 관계없이 두 환경 모두에서 개인 데이터를 수정하고 삭제할 수 있습니다.
귀하와 귀하의 파트너는 발견한 문제점과 권장되는 개선 조치, 그리고 이행 정도를 측정할 수 있는 방법을 명시한 격차 분석 보고서를 제출했습니다. InStyle Data Corp는 권장되는 모든 보안 통제를 구현했습니다. 귀하는 각 단계에서 개인 데이터를 적절하게 보호하기 위해 취해진 프로세스, 역할, 통제 및 조치를 검토했습니다. 그러나 모니터링 계획이 없고, 업데이트된 정책 및 절차 위반에 대한 제재 조치가 마련되어 있지 않다는 것을 알게 되었습니다. InStyle Data Corp는 그러한 모니터링을 위한 자원이 없다고 주장하며 반박했습니다.
격차 분석을 완료한 후, 귀하와 귀하의 파트너는 먼저 다음 사항에 대한 철저한 검토를 진행해야 합니다.
다음 질문에 답하실 때 아래 내용을 참고해 주세요.
당신은 최근 InStyle Data Corp에 개인정보 관리자로 채용되어 InStyle Data Corp가 새로운 데이터 보호법을 준수하도록 지원하는 업무를 맡게 되었습니다. 이 법은 기업이 개인 데이터를 보호하기 위해 합리적이고 적절한 보안 조치를 마련하도록 의무화하고 있습니다. 이 법을 위반할 경우 막대한 벌금이 부과되며, 입법부는 새로운 법을 준수하지 않는 기업에 대해 강력한 조치를 취할 것이라고 밝혔습니다. 당신은 보안 관리자와 함께 InStyle Data Corp의 현황을 검토하고 "합리적이고 적절한 보안" 요건을 충족할 수 있는 방안을 제시하는 임무를 맡았습니다. InStyle Data Corp는 급속도로 성장했지만 데이터 인벤토리나 데이터 매핑을 제대로 구축하지 못했습니다. 또한, 보안 관련 정책을 임시방편으로 수립했으며, 그중 상당수는 실제로 시행되지 않았습니다. InStyle Data Corp 제품 개발 및 테스트에 참여하는 여러 팀은 인력 변동이 잦고 역할 분담이 명확하지 않습니다. 어떤 제품이 어떤 목적으로 어떤 개인 데이터를 처리하는지에 대한 문서도 부족합니다. InStyle Data Corp가 법 시행 전에 법규를 준수할 수 있도록 이 프로젝트는 즉시 시작해야 합니다. 귀하와 귀하의 파트너는 InStyle Data Corp가 민감한 개인 정보가 포함된 파일을 고객에게 정기적으로 이메일로 전송하며, 때로는 InStyle Data Corp 직원의 개인 이메일 계정을 사용하는 것을 발견했습니다. 또한, InStyle Data Corp의 개인정보 보호 및 정보 보안 팀은 새로운 개인 정보 흐름, 개인 정보를 처리하는 InStyle Data Corp에서 개발한 새로운 제품, 또는 개인 정보 처리 방식이 변경될 수 있는 기존 InStyle Data Corp 제품 업데이트에 대해 제품 출시 이후에야 통보받는다는 사실을 알게 되었습니다.
InStyle Data Corp의 테스트 및 개발 환경 로그를 검토한 결과, InStyle Data Corp가 요청하는 모든 InStyle Data Corp 직원이나 계약업체에게 로그인 자격 증명을 제공하는 경우가 있음을 발견했습니다.
테스트 환경에는 더미 데이터만 포함되어 있지만 개발 환경에는 사회 보장 번호, 가족 정보 및 금융 정보를 포함한 개인 데이터가 포함되어 있습니다. InStyle Data Corp의 모든 자격을 갖춘 직원과 계약자는 직책이나 담당 프로젝트에 관계없이 두 환경 모두에서 개인 데이터를 수정하고 삭제할 수 있습니다.
귀하와 귀하의 파트너는 발견한 문제점과 권장되는 개선 조치, 그리고 이행 정도를 측정할 수 있는 방법을 명시한 격차 분석 보고서를 제출했습니다. InStyle Data Corp는 권장되는 모든 보안 통제를 구현했습니다. 귀하는 각 단계에서 개인 데이터를 적절하게 보호하기 위해 취해진 프로세스, 역할, 통제 및 조치를 검토했습니다. 그러나 모니터링 계획이 없고, 업데이트된 정책 및 절차 위반에 대한 제재 조치가 마련되어 있지 않다는 것을 알게 되었습니다. InStyle Data Corp는 그러한 모니터링을 위한 자원이 없다고 주장하며 반박했습니다.
격차 분석을 완료한 후, 귀하와 귀하의 파트너는 먼저 다음 사항에 대한 철저한 검토를 진행해야 합니다.
CIPM 문제 2
대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
존은 명망 높은 국제 로펌인 A&M LLP의 새로운 개인정보보호 책임자입니다. A&M LLP는 미국과 유럽 양국에서 신탁 및 상속, 인수합병 분야에서 쌓아온 명성을 매우 자랑스럽게 생각합니다.
정보기술부 동료와 점심을 먹던 중 존은 IT 부서장인 데릭이 회사의 이메일 연속성 서비스를 기존 이메일 보안 업체인 메시지세이프(MessageSafe)에 아웃소싱할 예정이라는 이야기를 들었습니다. 이메일 보안 업체로서 성공을 거둔 메시지세이프는 A&M LLP의 이메일 연속성 서비스를 호스팅하기 위해 클라우드 회사(Cloud Inc.)로부터 클라우드 인프라를 임대하여 사업을 확장하고 있었습니다.
존은 이 계획에 대해 매우 우려하고 있습니다. 그는 6개월 전 메시지세이프가 보안 침해 사고로 언론에 보도되었던 것을 떠올렸습니다. 존은 즉시 메시지세이프의 이전 침해 사고에 대해 조사했고, 그 사고가 IT 관리자의 부주의한 실수로 발생했다는 것을 알게 되었습니다. 그는 자신의 우려 사항을 전달하기 위해 데릭과 회의를 잡았습니다.
회의에서 데릭은 이메일이 로펌 변호사들이 고객과 소통하는 주요 수단이므로 이메일 시스템 중단을 방지하기 위해 이메일 연속성 서비스를 확보하는 것이 매우 중요하다고 강조했습니다.
데릭은 5년 동안 MessageSafe의 스팸 방지 서비스를 이용해 왔으며, MessageSafe가 제공하는 서비스 품질에 매우 만족하고 있습니다. MessageSafe가 제공하는 상당한 할인 혜택 외에도, 데릭은 이미 MessageSafe와 서비스 계약을 체결했기 때문에 온보딩 프로세스를 신속하게 진행할 수 있다는 점을 강조했습니다. 현재 사용 중인 사내 이메일 연속성 솔루션의 지원 종료 시점이 임박했으며, 데릭은 다른 솔루션을 찾을 시간과 자원이 부족한 상황입니다.
또한, 오프프레미스 이메일 연속성 서비스는 A&M LLP의 기본 및 보조 데이터 센터의 이메일 서비스가 모두 중단된 경우에만 활성화되며, 연속성 서비스를 위해 MessageSafe 사이트에 저장된 이메일 메시지는 30일 후 자동으로 삭제됩니다.
다음 중 A&M LLP로부터 수신한 개인 데이터를 보호하기 위해 MessageSafe가 적절한 기술적 대응 조치를 이행하도록 강제하는 데 가장 효과적인 통제 방법은 무엇입니까?
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
존은 명망 높은 국제 로펌인 A&M LLP의 새로운 개인정보보호 책임자입니다. A&M LLP는 미국과 유럽 양국에서 신탁 및 상속, 인수합병 분야에서 쌓아온 명성을 매우 자랑스럽게 생각합니다.
정보기술부 동료와 점심을 먹던 중 존은 IT 부서장인 데릭이 회사의 이메일 연속성 서비스를 기존 이메일 보안 업체인 메시지세이프(MessageSafe)에 아웃소싱할 예정이라는 이야기를 들었습니다. 이메일 보안 업체로서 성공을 거둔 메시지세이프는 A&M LLP의 이메일 연속성 서비스를 호스팅하기 위해 클라우드 회사(Cloud Inc.)로부터 클라우드 인프라를 임대하여 사업을 확장하고 있었습니다.
존은 이 계획에 대해 매우 우려하고 있습니다. 그는 6개월 전 메시지세이프가 보안 침해 사고로 언론에 보도되었던 것을 떠올렸습니다. 존은 즉시 메시지세이프의 이전 침해 사고에 대해 조사했고, 그 사고가 IT 관리자의 부주의한 실수로 발생했다는 것을 알게 되었습니다. 그는 자신의 우려 사항을 전달하기 위해 데릭과 회의를 잡았습니다.
회의에서 데릭은 이메일이 로펌 변호사들이 고객과 소통하는 주요 수단이므로 이메일 시스템 중단을 방지하기 위해 이메일 연속성 서비스를 확보하는 것이 매우 중요하다고 강조했습니다.
데릭은 5년 동안 MessageSafe의 스팸 방지 서비스를 이용해 왔으며, MessageSafe가 제공하는 서비스 품질에 매우 만족하고 있습니다. MessageSafe가 제공하는 상당한 할인 혜택 외에도, 데릭은 이미 MessageSafe와 서비스 계약을 체결했기 때문에 온보딩 프로세스를 신속하게 진행할 수 있다는 점을 강조했습니다. 현재 사용 중인 사내 이메일 연속성 솔루션의 지원 종료 시점이 임박했으며, 데릭은 다른 솔루션을 찾을 시간과 자원이 부족한 상황입니다.
또한, 오프프레미스 이메일 연속성 서비스는 A&M LLP의 기본 및 보조 데이터 센터의 이메일 서비스가 모두 중단된 경우에만 활성화되며, 연속성 서비스를 위해 MessageSafe 사이트에 저장된 이메일 메시지는 30일 후 자동으로 삭제됩니다.
다음 중 A&M LLP로부터 수신한 개인 데이터를 보호하기 위해 MessageSafe가 적절한 기술적 대응 조치를 이행하도록 강제하는 데 가장 효과적인 통제 방법은 무엇입니까?
CIPM 문제 3
개인정보보호책임자 거버넌스 모델을 구축할 때 가장 먼저 취해야 할 최적의 단계는 무엇일까요?
CIPM 문제 4
데이터 수명주기 관리(DLM) 프로그램을 구현함으로써 달성될 가능성이 가장 낮은 것은 무엇입니까?
CIPM 문제 5
GDPR을 준수할 때 데이터 관리자가 제공해야 하는 정보는 다음 중 무엇입니까?
"알 권리" 요건은 무엇인가요?
"알 권리" 요건은 무엇인가요?
