CIPM 문제 136
미국 국립표준기술연구소(NIST)에서 채택한 개인정보보호 측정 기준 템플릿의 핵심 특징은 무엇입니까?
CIPM 문제 137
개인정보보호 프레임워크 개발에서 개별 프로그램의 요구사항과 조직의 구체적인 목표는 어떻게 파악되는가?
CIPM 문제 138
다음 중 기업 인수합병(M&A) 거래의 데이터 개인정보 보호 실사 과정에서 요구되지 않는 조치는 무엇입니까?
CIPM 문제 139
다음 중 개인정보 보호 정책을 시행하기 위한 통제 조치를 구현하는 데 가장 도움이 되는 것은 무엇입니까?
CIPM 문제 140
대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
네이션와이드 그릴 레스토랑 체인의 최고재무책임자(CFO)인 나탈리아는 동료 임원들이 그토록 불안해하는 모습을 본 적이 없었다. 지난주, 회사가 이용하는 데이터 처리 업체가 시스템이 해킹당했을 가능성이 있으며, 고객의 이름, 주소, 생년월일 등의 개인 정보가 유출되었을 수 있다고 보고했기 때문이다. 비록 해킹 시도는 실패로 판명되었지만, 이 사건으로 인해 네이션와이드 그릴의 여러 임원들은 오늘 회의에서 회사의 개인정보 보호 프로그램에 대해 의문을 제기했다.
부사장인 앨리스는 이번 사건이 소송으로 이어져 네이션와이드 그릴의 시장 지위에 악영향을 미칠 수 있다고 우려했다. 최고정보책임자(CIO)인 브렌던은 설령 실제로 데이터 유출이 있었다 하더라도 회사를 상대로 한 소송에서 승소할 가능성은 희박하다고 앨리스를 안심시키려 애썼다. 하지만 앨리스는 여전히 확신하지 못했다.
전 CEO이자 현 고문인 스펜서는 데이터 처리 업무에 하청업체를 활용하는 것에 대해 항상 경고해 왔다고 말했습니다. 최소한 하청업체는 보안 사고 발생 시 고객에게 알릴 의무를 계약상으로 부담해야 한다고 주장했습니다. 그의 견해로는 네이션와이드 그릴은 자신들이 야기하지 않은 문제로 회사 명예를 실추시켜서는 안 된다는 것입니다.
사업 개발(BD) 담당 임원 중 한 명인 헤일리가 나서서 모두에게 이성적으로 생각해 달라고 간곡히 호소했습니다.
"조직이 아무리 최선을 다하더라도 정보 유출은 발생할 수 있습니다."라고 그녀는 말했다. "합리적인 대비가 핵심입니다." 그녀는 7년 전 대형 식료품 체인 팅커튼(Tinkerton's)이 네이션와이드 그릴(Nationwide Grill) 냉동식품 대량 주문 후 재무 정보가 유출된 사건을 상기시켰다. 오랜 기간 팅커튼의 기업 문화를 깊이 이해하고 관계를 다져온 사업 개발(BD) 임원인 헤일리는 회사의 사고 대응을 성공적으로 이끌 수 있었다.
스펜서는 이성적으로 행동한다는 것은 보안 문제를 BD 직원이 아닌 회사 내 보안 담당 부서에서 처리하도록 하는 것을 의미한다고 답했습니다. 마찬가지로 인사부(HR)도 사건 예방을 위한 직원 교육을 강화해야 한다고 말했습니다. 그는 네이션와이드 그릴 직원들이 회사 개인정보 보호 프로그램과 관련하여 인사부와 윤리부에서 보내는 포스터, 이메일, 메모 등에 압도당하고 있다고 지적했습니다. 정보의 양과 중복 때문에 직원들이 이를 무시하는 경우가 많다는 것입니다.
스펜서는 "회사는 개인정보 보호 프로그램에 전념하고 모든 직원을 대상으로 매달 정기적인 대면 교육을 실시해야 한다"고 말했다. 앨리스는 좋은 의도이긴 하지만 현실적으로 어렵다고 답했다. 여러 지점을 운영하는 만큼 각 지점의 인사 부서에서 교육 일정을 유연하게 조정할 수 있어야 한다는 것이다. 나탈리아는 말없이 동의했다.
수석 고문인 스펜서는 무엇에 대해 오해하고 있는 것일까요?
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
네이션와이드 그릴 레스토랑 체인의 최고재무책임자(CFO)인 나탈리아는 동료 임원들이 그토록 불안해하는 모습을 본 적이 없었다. 지난주, 회사가 이용하는 데이터 처리 업체가 시스템이 해킹당했을 가능성이 있으며, 고객의 이름, 주소, 생년월일 등의 개인 정보가 유출되었을 수 있다고 보고했기 때문이다. 비록 해킹 시도는 실패로 판명되었지만, 이 사건으로 인해 네이션와이드 그릴의 여러 임원들은 오늘 회의에서 회사의 개인정보 보호 프로그램에 대해 의문을 제기했다.
부사장인 앨리스는 이번 사건이 소송으로 이어져 네이션와이드 그릴의 시장 지위에 악영향을 미칠 수 있다고 우려했다. 최고정보책임자(CIO)인 브렌던은 설령 실제로 데이터 유출이 있었다 하더라도 회사를 상대로 한 소송에서 승소할 가능성은 희박하다고 앨리스를 안심시키려 애썼다. 하지만 앨리스는 여전히 확신하지 못했다.
전 CEO이자 현 고문인 스펜서는 데이터 처리 업무에 하청업체를 활용하는 것에 대해 항상 경고해 왔다고 말했습니다. 최소한 하청업체는 보안 사고 발생 시 고객에게 알릴 의무를 계약상으로 부담해야 한다고 주장했습니다. 그의 견해로는 네이션와이드 그릴은 자신들이 야기하지 않은 문제로 회사 명예를 실추시켜서는 안 된다는 것입니다.
사업 개발(BD) 담당 임원 중 한 명인 헤일리가 나서서 모두에게 이성적으로 생각해 달라고 간곡히 호소했습니다.
"조직이 아무리 최선을 다하더라도 정보 유출은 발생할 수 있습니다."라고 그녀는 말했다. "합리적인 대비가 핵심입니다." 그녀는 7년 전 대형 식료품 체인 팅커튼(Tinkerton's)이 네이션와이드 그릴(Nationwide Grill) 냉동식품 대량 주문 후 재무 정보가 유출된 사건을 상기시켰다. 오랜 기간 팅커튼의 기업 문화를 깊이 이해하고 관계를 다져온 사업 개발(BD) 임원인 헤일리는 회사의 사고 대응을 성공적으로 이끌 수 있었다.
스펜서는 이성적으로 행동한다는 것은 보안 문제를 BD 직원이 아닌 회사 내 보안 담당 부서에서 처리하도록 하는 것을 의미한다고 답했습니다. 마찬가지로 인사부(HR)도 사건 예방을 위한 직원 교육을 강화해야 한다고 말했습니다. 그는 네이션와이드 그릴 직원들이 회사 개인정보 보호 프로그램과 관련하여 인사부와 윤리부에서 보내는 포스터, 이메일, 메모 등에 압도당하고 있다고 지적했습니다. 정보의 양과 중복 때문에 직원들이 이를 무시하는 경우가 많다는 것입니다.
스펜서는 "회사는 개인정보 보호 프로그램에 전념하고 모든 직원을 대상으로 매달 정기적인 대면 교육을 실시해야 한다"고 말했다. 앨리스는 좋은 의도이긴 하지만 현실적으로 어렵다고 답했다. 여러 지점을 운영하는 만큼 각 지점의 인사 부서에서 교육 일정을 유연하게 조정할 수 있어야 한다는 것이다. 나탈리아는 말없이 동의했다.
수석 고문인 스펜서는 무엇에 대해 오해하고 있는 것일까요?
