CIPM 문제 131
대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
콘솔리데이티드 레코드 코퍼레이션의 데이터 보호 책임자로서, 당신은 지금까지 이뤄낸 성과에 당연히 만족하고 계실 것입니다. 당신은 비교적 경미한 데이터 유출 사고들이 잇따라 발생한 후 규제 기관으로부터 경고를 받은 뒤 채용되었습니다. 다행히도, 당신은 회사에 재직한 3년 동안 보고할 만한 사고를 단 한 건도 경험하지 못했습니다. 오히려 당신은 자신의 데이터 보호 프로그램을 데이터 저장 업계의 다른 기업들이 자체 프로그램 개발에 참고할 만한 모범 사례로 여기고 있습니다.
당신은 Consolidated에서 뒤죽박죽 섞인 정책과 절차들을 바로잡는 프로그램을 시작했고, 부서 간 및 운영 전반에 걸쳐 일관성을 확보하기 위해 노력했습니다. 그 과정에서 프로그램 책임자인 운영 담당 부사장과 변화의 필요성을 명확히 인식하고 있던 개인정보보호팀의 도움을 받았습니다.
처음에 당신의 업무는 경영진과 데이터 처리 및 고객 응대를 담당하는 현장 직원들을 포함한 회사 내 "기득권층"으로부터 별다른 신뢰나 열의를 얻지 못했습니다. 하지만 발생한 데이터 유출 사고로 인한 비용뿐만 아니라 현재 운영 상태를 고려했을 때 쉽게 발생할 수 있는 예상 비용까지 보여주는 지표를 활용하자, 곧 경영진과 주요 의사 결정권자들의 지지를 얻을 수 있었습니다. 다른 직원들은 다소 저항적이었지만, 각 부서와의 대면 회의와 기본 개인정보 보호 교육 프로그램 개발을 통해 적절한 절차를 마련하는 데 필요한 충분한 동의를 얻을 수 있었습니다.
이제 개인정보 보호는 개인정보 또는 보호 대상 데이터를 다루는 모든 현행 업무에서 필수적인 요소로 자리 잡았으며, 모든 기술 개발 과정의 최종 결과물에 반드시 포함되어야 합니다. 귀하의 접근 방식은 체계적이지는 않지만 상당히 효과적입니다.
당신은 다음과 같은 생각에 잠기게 됩니다:
데이터 유출 방지 프로그램을 넘어 프로그램을 유지하고 발전시키려면 어떻게 해야 할까요? 성공을 발판으로 삼아 더 나아가려면 어떻게 해야 할까요?
다음 조치 단계는 무엇입니까?
Consolidated에서 개발 중인 새롭고 포괄적인 프로그램에 개인정보 보호 조치를 추가하는 데 가장 효과적인 절차는 무엇일까요?
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
콘솔리데이티드 레코드 코퍼레이션의 데이터 보호 책임자로서, 당신은 지금까지 이뤄낸 성과에 당연히 만족하고 계실 것입니다. 당신은 비교적 경미한 데이터 유출 사고들이 잇따라 발생한 후 규제 기관으로부터 경고를 받은 뒤 채용되었습니다. 다행히도, 당신은 회사에 재직한 3년 동안 보고할 만한 사고를 단 한 건도 경험하지 못했습니다. 오히려 당신은 자신의 데이터 보호 프로그램을 데이터 저장 업계의 다른 기업들이 자체 프로그램 개발에 참고할 만한 모범 사례로 여기고 있습니다.
당신은 Consolidated에서 뒤죽박죽 섞인 정책과 절차들을 바로잡는 프로그램을 시작했고, 부서 간 및 운영 전반에 걸쳐 일관성을 확보하기 위해 노력했습니다. 그 과정에서 프로그램 책임자인 운영 담당 부사장과 변화의 필요성을 명확히 인식하고 있던 개인정보보호팀의 도움을 받았습니다.
처음에 당신의 업무는 경영진과 데이터 처리 및 고객 응대를 담당하는 현장 직원들을 포함한 회사 내 "기득권층"으로부터 별다른 신뢰나 열의를 얻지 못했습니다. 하지만 발생한 데이터 유출 사고로 인한 비용뿐만 아니라 현재 운영 상태를 고려했을 때 쉽게 발생할 수 있는 예상 비용까지 보여주는 지표를 활용하자, 곧 경영진과 주요 의사 결정권자들의 지지를 얻을 수 있었습니다. 다른 직원들은 다소 저항적이었지만, 각 부서와의 대면 회의와 기본 개인정보 보호 교육 프로그램 개발을 통해 적절한 절차를 마련하는 데 필요한 충분한 동의를 얻을 수 있었습니다.
이제 개인정보 보호는 개인정보 또는 보호 대상 데이터를 다루는 모든 현행 업무에서 필수적인 요소로 자리 잡았으며, 모든 기술 개발 과정의 최종 결과물에 반드시 포함되어야 합니다. 귀하의 접근 방식은 체계적이지는 않지만 상당히 효과적입니다.
당신은 다음과 같은 생각에 잠기게 됩니다:
데이터 유출 방지 프로그램을 넘어 프로그램을 유지하고 발전시키려면 어떻게 해야 할까요? 성공을 발판으로 삼아 더 나아가려면 어떻게 해야 할까요?
다음 조치 단계는 무엇입니까?
Consolidated에서 개발 중인 새롭고 포괄적인 프로그램에 개인정보 보호 조치를 추가하는 데 가장 효과적인 절차는 무엇일까요?
CIPM 문제 132
대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
네이션와이드 그릴 레스토랑 체인의 최고재무책임자(CFO)인 나탈리아는 동료 임원들이 그토록 불안해하는 모습을 본 적이 없었다. 지난주, 회사가 이용하는 데이터 처리 업체가 시스템이 해킹당했을 가능성이 있으며, 고객의 이름, 주소, 생년월일 등의 개인 정보가 유출되었을 수 있다고 보고했기 때문이다. 비록 해킹 시도는 실패로 판명되었지만, 이 사건으로 인해 네이션와이드 그릴의 여러 임원들은 오늘 회의에서 회사의 개인정보 보호 프로그램에 대해 의문을 제기했다.
부사장인 앨리스는 이번 사건이 소송으로 이어져 네이션와이드 그릴의 시장 지위에 악영향을 미칠 수 있다고 우려했다. 최고정보책임자(CIO)인 브렌던은 설령 실제로 데이터 유출이 있었다 하더라도 회사를 상대로 한 소송에서 승소할 가능성은 희박하다고 앨리스를 안심시키려 애썼다. 하지만 앨리스는 여전히 확신하지 못했다.
전 CEO이자 현 고문인 스펜서는 데이터 처리 업무에 하청업체를 활용하는 것에 대해 항상 경고해 왔다고 말했습니다. 최소한 하청업체는 보안 사고 발생 시 고객에게 알릴 의무를 계약상으로 부담해야 한다고 주장했습니다. 그의 견해로는 네이션와이드 그릴은 자신들이 야기하지 않은 문제로 회사 명예를 실추시켜서는 안 된다는 것입니다.
사업 개발(BD) 담당 임원 중 한 명인 헤일리가 나서서 모두에게 이성적으로 생각해 달라고 간곡히 호소했습니다.
"조직이 아무리 최선을 다하더라도 정보 유출은 발생할 수 있습니다."라고 그녀는 말했다. "합리적인 대비가 핵심입니다." 그녀는 7년 전 대형 식료품 체인 팅커튼(Tinkerton's)이 네이션와이드 그릴(Nationwide Grill) 냉동식품 대량 주문 후 재무 정보가 유출된 사건을 상기시켰다. 오랜 기간 팅커튼의 기업 문화를 깊이 이해하고 관계를 다져온 사업 개발(BD) 임원인 헤일리는 회사의 사고 대응을 성공적으로 이끌 수 있었다.
스펜서는 이성적으로 행동한다는 것은 보안 문제를 BD 직원이 아닌 회사 내 보안 담당 부서에서 처리하도록 하는 것을 의미한다고 답했습니다. 마찬가지로 인사부(HR)도 사건 예방을 위한 직원 교육을 강화해야 한다고 말했습니다. 그는 네이션와이드 그릴 직원들이 회사 개인정보 보호 프로그램과 관련하여 인사부와 윤리부에서 보내는 포스터, 이메일, 메모 등에 압도당하고 있다고 지적했습니다. 정보의 양과 중복 때문에 직원들이 이를 무시하는 경우가 많다는 것입니다.
스펜서는 "회사는 개인정보 보호 프로그램에 전념하고 모든 직원을 대상으로 매달 정기적인 대면 교육을 실시해야 한다"고 말했다. 앨리스는 좋은 의도이긴 하지만 현실적으로 어렵다고 답했다. 여러 지점을 운영하는 만큼 각 지점의 인사 부서에서 교육 일정을 유연하게 조정할 수 있어야 한다는 것이다. 나탈리아는 말없이 동의했다.
스펜서의 훈련 제안에 대한 반대 의견은 어떻게 해결할 수 있을까요?
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
네이션와이드 그릴 레스토랑 체인의 최고재무책임자(CFO)인 나탈리아는 동료 임원들이 그토록 불안해하는 모습을 본 적이 없었다. 지난주, 회사가 이용하는 데이터 처리 업체가 시스템이 해킹당했을 가능성이 있으며, 고객의 이름, 주소, 생년월일 등의 개인 정보가 유출되었을 수 있다고 보고했기 때문이다. 비록 해킹 시도는 실패로 판명되었지만, 이 사건으로 인해 네이션와이드 그릴의 여러 임원들은 오늘 회의에서 회사의 개인정보 보호 프로그램에 대해 의문을 제기했다.
부사장인 앨리스는 이번 사건이 소송으로 이어져 네이션와이드 그릴의 시장 지위에 악영향을 미칠 수 있다고 우려했다. 최고정보책임자(CIO)인 브렌던은 설령 실제로 데이터 유출이 있었다 하더라도 회사를 상대로 한 소송에서 승소할 가능성은 희박하다고 앨리스를 안심시키려 애썼다. 하지만 앨리스는 여전히 확신하지 못했다.
전 CEO이자 현 고문인 스펜서는 데이터 처리 업무에 하청업체를 활용하는 것에 대해 항상 경고해 왔다고 말했습니다. 최소한 하청업체는 보안 사고 발생 시 고객에게 알릴 의무를 계약상으로 부담해야 한다고 주장했습니다. 그의 견해로는 네이션와이드 그릴은 자신들이 야기하지 않은 문제로 회사 명예를 실추시켜서는 안 된다는 것입니다.
사업 개발(BD) 담당 임원 중 한 명인 헤일리가 나서서 모두에게 이성적으로 생각해 달라고 간곡히 호소했습니다.
"조직이 아무리 최선을 다하더라도 정보 유출은 발생할 수 있습니다."라고 그녀는 말했다. "합리적인 대비가 핵심입니다." 그녀는 7년 전 대형 식료품 체인 팅커튼(Tinkerton's)이 네이션와이드 그릴(Nationwide Grill) 냉동식품 대량 주문 후 재무 정보가 유출된 사건을 상기시켰다. 오랜 기간 팅커튼의 기업 문화를 깊이 이해하고 관계를 다져온 사업 개발(BD) 임원인 헤일리는 회사의 사고 대응을 성공적으로 이끌 수 있었다.
스펜서는 이성적으로 행동한다는 것은 보안 문제를 BD 직원이 아닌 회사 내 보안 담당 부서에서 처리하도록 하는 것을 의미한다고 답했습니다. 마찬가지로 인사부(HR)도 사건 예방을 위한 직원 교육을 강화해야 한다고 말했습니다. 그는 네이션와이드 그릴 직원들이 회사 개인정보 보호 프로그램과 관련하여 인사부와 윤리부에서 보내는 포스터, 이메일, 메모 등에 압도당하고 있다고 지적했습니다. 정보의 양과 중복 때문에 직원들이 이를 무시하는 경우가 많다는 것입니다.
스펜서는 "회사는 개인정보 보호 프로그램에 전념하고 모든 직원을 대상으로 매달 정기적인 대면 교육을 실시해야 한다"고 말했다. 앨리스는 좋은 의도이긴 하지만 현실적으로 어렵다고 답했다. 여러 지점을 운영하는 만큼 각 지점의 인사 부서에서 교육 일정을 유연하게 조정할 수 있어야 한다는 것이다. 나탈리아는 말없이 동의했다.
스펜서의 훈련 제안에 대한 반대 의견은 어떻게 해결할 수 있을까요?
CIPM 문제 133
유럽연합이 미국보다 더 포괄적인 개인정보보호법을 제정한 이유 중 하나는 무엇일까요?
CIPM 문제 134
대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
콘솔리데이티드 레코드 코퍼레이션의 데이터 보호 책임자로서, 당신은 지금까지 이뤄낸 성과에 당연히 만족하고 있을 것입니다. 당신은 비교적 경미한 데이터 유출 사고들이 잇따라 발생한 후 규제 기관으로부터 경고를 받은 뒤 채용되었습니다. 다행히도, 당신이 회사에 재직한 3년 동안 보고할 만한 사고는 단 한 건도 없었습니다. 오히려 당신은 자신의 데이터 보호 프로그램을 데이터 저장 업계의 다른 기업들이 자체 프로그램 개발에 참고할 만한 모범 사례라고 생각합니다.
당신은 Consolidated에서 뒤죽박죽 섞인 정책과 절차들을 바로잡는 프로그램을 시작했고, 부서 간 및 운영 전반에 걸쳐 일관성을 확보하기 위해 노력했습니다. 그 과정에서 프로그램 책임자인 운영 담당 부사장과 변화의 필요성을 명확히 인식하고 있던 개인정보보호팀의 도움을 받았습니다.
처음에 당신의 업무는 경영진과 데이터 처리 및 고객 응대를 담당하는 현장 직원들을 포함한 회사 내 "기득권층"으로부터 별다른 신뢰나 열의를 얻지 못했습니다. 하지만 발생한 데이터 유출 사고로 인한 비용뿐만 아니라 현재 운영 상태를 고려했을 때 쉽게 발생할 수 있는 예상 비용까지 보여주는 지표를 활용하자, 곧 경영진과 주요 의사 결정권자들의 지지를 얻을 수 있었습니다. 다른 직원들은 다소 저항적이었지만, 각 부서와의 대면 회의와 기본 개인정보 보호 교육 프로그램 개발을 통해 적절한 절차를 마련하는 데 필요한 충분한 동의를 얻을 수 있었습니다.
이제 개인정보 보호는 개인정보 또는 보호 대상 데이터를 다루는 모든 현행 업무에서 필수적인 요소로 자리 잡았으며, 모든 기술 개발 과정의 최종 결과물에 반드시 포함되어야 합니다. 귀하의 접근 방식은 체계적이지는 않지만 상당히 효과적입니다.
이제 여러분은 다음과 같은 질문들을 고민하게 됩니다. 데이터 유출 방지 프로그램을 넘어 프로그램을 유지하고 발전시키려면 무엇을 해야 할까요? 성공을 발판 삼아 어떻게 더 나아갈 수 있을까요? 다음 단계는 무엇일까요?
컨솔리데이티드의 현재 개인정보보호 프로그램은 개인정보보호 운영 수명주기의 어느 단계에 가장 가깝습니까?
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
콘솔리데이티드 레코드 코퍼레이션의 데이터 보호 책임자로서, 당신은 지금까지 이뤄낸 성과에 당연히 만족하고 있을 것입니다. 당신은 비교적 경미한 데이터 유출 사고들이 잇따라 발생한 후 규제 기관으로부터 경고를 받은 뒤 채용되었습니다. 다행히도, 당신이 회사에 재직한 3년 동안 보고할 만한 사고는 단 한 건도 없었습니다. 오히려 당신은 자신의 데이터 보호 프로그램을 데이터 저장 업계의 다른 기업들이 자체 프로그램 개발에 참고할 만한 모범 사례라고 생각합니다.
당신은 Consolidated에서 뒤죽박죽 섞인 정책과 절차들을 바로잡는 프로그램을 시작했고, 부서 간 및 운영 전반에 걸쳐 일관성을 확보하기 위해 노력했습니다. 그 과정에서 프로그램 책임자인 운영 담당 부사장과 변화의 필요성을 명확히 인식하고 있던 개인정보보호팀의 도움을 받았습니다.
처음에 당신의 업무는 경영진과 데이터 처리 및 고객 응대를 담당하는 현장 직원들을 포함한 회사 내 "기득권층"으로부터 별다른 신뢰나 열의를 얻지 못했습니다. 하지만 발생한 데이터 유출 사고로 인한 비용뿐만 아니라 현재 운영 상태를 고려했을 때 쉽게 발생할 수 있는 예상 비용까지 보여주는 지표를 활용하자, 곧 경영진과 주요 의사 결정권자들의 지지를 얻을 수 있었습니다. 다른 직원들은 다소 저항적이었지만, 각 부서와의 대면 회의와 기본 개인정보 보호 교육 프로그램 개발을 통해 적절한 절차를 마련하는 데 필요한 충분한 동의를 얻을 수 있었습니다.
이제 개인정보 보호는 개인정보 또는 보호 대상 데이터를 다루는 모든 현행 업무에서 필수적인 요소로 자리 잡았으며, 모든 기술 개발 과정의 최종 결과물에 반드시 포함되어야 합니다. 귀하의 접근 방식은 체계적이지는 않지만 상당히 효과적입니다.
이제 여러분은 다음과 같은 질문들을 고민하게 됩니다. 데이터 유출 방지 프로그램을 넘어 프로그램을 유지하고 발전시키려면 무엇을 해야 할까요? 성공을 발판 삼아 어떻게 더 나아갈 수 있을까요? 다음 단계는 무엇일까요?
컨솔리데이티드의 현재 개인정보보호 프로그램은 개인정보보호 운영 수명주기의 어느 단계에 가장 가깝습니까?
CIPM 문제 135
다음 변경 사항 중 데이터 인벤토리 업데이트를 유발할 가능성이 가장 낮은 것은 무엇입니까?
