CIPM 문제 166

다음 중 기업의 개인정보 침해 대응 프로세스의 효과성을 가장 잘 보여주는 것은 무엇입니까?

CIPM 문제 167

다음 중 PCI DSS 프레임워크에서 요구하지 않는 통제 항목은 무엇입니까?

CIPM 문제 168

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
콘솔리데이티드 레코드 코퍼레이션의 데이터 보호 책임자로서, 당신은 지금까지 이뤄낸 성과에 당연히 만족하고 있을 것입니다. 당신은 비교적 경미한 데이터 유출 사고들이 잇따라 발생한 후 규제 기관으로부터 경고를 받은 뒤 채용되었습니다. 다행히도, 당신이 회사에 재직한 3년 동안 보고할 만한 사고는 단 한 건도 없었습니다. 오히려 당신은 자신의 데이터 보호 프로그램을 데이터 저장 업계의 다른 기업들이 자체 프로그램 개발에 참고할 만한 모범 사례라고 생각합니다.
당신은 Consolidated에서 뒤죽박죽 섞인 정책과 절차들을 바로잡는 프로그램을 시작했고, 부서 간 및 운영 전반에 걸쳐 일관성을 확보하기 위해 노력했습니다. 그 과정에서 프로그램 책임자인 운영 담당 부사장과 변화의 필요성을 명확히 인식하고 있던 개인정보보호팀의 도움을 받았습니다.
처음에 당신의 업무는 경영진과 데이터 처리 및 고객 응대를 담당하는 현장 직원들을 포함한 회사 내 "기득권층"으로부터 별다른 신뢰나 열의를 얻지 못했습니다. 하지만 발생한 데이터 유출 사고로 인한 비용뿐만 아니라 현재 운영 상태를 고려했을 때 쉽게 발생할 수 있는 예상 비용까지 보여주는 지표를 활용하자, 곧 경영진과 주요 의사 결정권자들의 지지를 얻을 수 있었습니다. 다른 직원들은 다소 저항적인 태도를 보였지만, 각 부서와의 대면 회의와 기본 개인정보 보호 교육 프로그램 개발을 통해 상당한 진전을 이루었습니다.
적절한 절차를 마련하기 위한 "동의"를 얻어야 합니다.
이제 개인정보 보호는 개인정보 또는 보호 대상 데이터를 다루는 모든 현행 업무에서 필수적인 요소로 자리 잡았으며, 모든 기술 개발 과정의 최종 결과물에 반드시 포함되어야 합니다. 귀하의 접근 방식은 체계적이지는 않지만 상당히 효과적입니다.
이제 여러분은 다음과 같은 질문들을 고민하게 됩니다. 데이터 유출 방지 프로그램을 넘어 프로그램을 유지하고 발전시키려면 무엇을 해야 할까요? 성공을 발판 삼아 어떻게 더 나아갈 수 있을까요? 다음 단계는 무엇일까요?
컨솔리데이티드의 현재 개인정보보호 프로그램은 개인정보보호 운영 수명주기의 어느 단계에 가장 가깝습니까?

CIPM 문제 169

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
헨리 홈 퍼니싱은 거의 40년 동안 고급 가구를 제작해 왔습니다. 그러나 새 주인인 안톤은 회사 본사를 둘러본 후 다소 체계가 잡히지 않은 것을 발견했습니다. 그의 삼촌 헨리는 항상 생산에만 집중하고 데이터 처리는 소홀히 했기에 안톤은 우려하고 있습니다. 여러 창고에서 서류, 디스크, 오래된 컴퓨터 등이 발견되었는데, 여기에는 현직 및 전직 직원과 고객의 개인 정보가 담겨 있을 가능성이 높습니다. 안톤은 단 한 번의 침입으로 회사와 충성 고객 간의 관계가 돌이킬 수 없을 정도로 손상될 수 있음을 알고 있습니다. 그는 개인 정보 유출을 절대적으로 방지하는 것을 목표로 삼을 계획입니다.
이를 위해 안톤은 원래 회사 건물 출입을 제한하는 방안을 계획했습니다. 그러나 그의 삼촌의 부사장이자 오랜 측근인 케네스는 안톤의 아이디어를 보류하고 회사에 보관된 모든 종이 기록을 전자 파일로 전환하는 것을 제안합니다. 케네스는 이 과정이 1~2년이면 완료될 것이라고 생각합니다. 안톤은 이 아이디어에 찬성하며, 자신과 케네스만 접근할 수 있는 비밀번호로 보호되는 시스템을 구상하고 있습니다.
안톤은 또한 회사의 자회사 대부분을 매각할 계획입니다. 이는 그의 업무를 수월하게 할 뿐만 아니라 저장된 데이터 관리도 간소화할 것입니다. 길 건너편에 있는 미술관이나 주방용품점과 같은 자회사 책임자들이 각자의 정보 관리를 담당하게 될 것입니다. 그러면 안톤이 보유하고 있는 불필요한 자회사 데이터는 향후 몇 년 안에 모두 파기될 수 있을 것입니다.
최근 발생한 보안 사고에 대해 알게 된 안톤은 고객들에게 알리는 것이 매우 중요한 조치임을 깨닫습니다. 케네스는 문제의 하드 드라이브 두 개가 분실된 것은 걱정할 필요가 없다고 주장합니다. 모든 데이터가 암호화되어 있었고 민감한 정보도 아니라는 것입니다. 하지만 안톤은 만일의 사태에 대비하여 모든 직원과 고객에게 안내문을 발송하기로 합니다.
안톤은 개인정보 보호와 관련된 모든 법률, 규정 및 시장 요건을 준수하는지 여부도 확인해야 합니다. 케네스는 약 10년 전 회사의 온라인 입지 구축을 총괄했지만, 안톤은 최근 온라인 마케팅 관련 법규에 대한 그의 이해도를 확신하지 못합니다. 안톤은 법률 지식이 있는 다른 신뢰할 만한 직원에게 준수 여부 평가를 맡기기로 했습니다. 철저한 분석 후, 안톤은 회사가 향후 5년 동안은 문제없이 운영될 것이라고 판단하고, 그 시점에 다시 한번 점검을 의뢰할 계획입니다.
이 분석에 대한 문서는 감사인이 실사를 제대로 수행했음을 보여줄 것입니다.
안톤은 회사의 경영 개선을 위한 긴 여정을 시작했지만, 그 노력이 가치 있다는 것을 알고 있습니다. 안톤은 삼촌의 유산이 앞으로도 오랫동안 이어지기를 바랍니다.
안톤이 데이터 접근 권한을 자신과 케네스로 제한하는 계획을 실행할 경우, 데이터 수명주기 관리(DLM)의 어떤 중요한 원칙이 가장 심각하게 훼손될 가능성이 높습니까?

CIPM 문제 170

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
최근 미국 캘리포니아에 본사를 둔 한 부티크 패션 회사는 프랑스에 있는 주요 고객 중 한 곳으로부터 대량의 온라인 주문을 처리해야 했습니다. 하지만 주문에 필요한 모든 품목을 보유하고 있지 않았기 때문에 캐나다에 있는 협력업체에 도움을 요청했습니다. 시간을 절약하기 위해 부티크는 캐나다 협력업체 매장에서 고객의 집 주소로 상품을 직접 배송했습니다. 협력업체는 고객에게 문자 메시지를 통해 배송 상황을 실시간으로 알려주었습니다.
상품은 고객에게 도착했고 고객은 구매 경험에 만족했습니다. 그러나 얼마 지나지 않아 고객은 다른 패션 부티크 및 매장으로부터 텔레마케팅 전화와 이메일을 받고 있다며 해당 부티크에 불만을 제기했습니다.
부티크는 고객의 개인 정보를 적절하게 처리하고 관리하기 위해 어떤 조치를 취했어야 했을까요?