CIPM 문제 11
다음 중 조직 외부의 개인정보 보호 환경에 영향을 미치지 않는 것은 무엇입니까?
CIPM 문제 12
대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
앨버트는 15년 동안 미국 통신판매 회사인 트레저 박스에서 근무했습니다. 트레저 박스는 한때 전 세계에 장식용 양초를 판매했지만, 최근에는 미국 본토 48개 주에만 배송을 제한하기로 결정했습니다. 오랜 경력에도 불구하고 앨버트는 관리직에서 자주 제외되었습니다. 승진하지 못하는 것에 대한 불만과 최근 개인정보 보호 문제에 대한 관심이 맞물려, 앨버트는 긍정적인 변화를 만들어내고자 하는 동기를 갖게 되었습니다.
앨버트는 곧 새로 공고된 자리에 면접을 볼 예정인데, 면접 과정에서 회사 임원들에게 회사 개인정보 보호 프로그램의 허점을 알릴 계획입니다. 그는 회사의 낡은 정책과 절차로 인해 발생할 수 있는 부정적인 결과를 막았으니 승진할 수 있을 거라고 확신하고 있습니다.
예를 들어, 알버트는 미국 공인회계사협회(AICPA)/캐나다 공인회계사협회(CICA)의 개인정보보호 성숙도 모델(PMM)에 대해 알게 되었습니다. 알버트는 이 모델이 트레저 박스의 개인정보 보호 능력을 측정하는 데 유용한 방법이라고 생각합니다. 알버트는 트레저 박스가 이 모델의 최고 수준 성숙도 요건을 충족하지 못한다는 점을 파악했으며, 면접에서 고객에게 최고 수준의 보안을 제공할 수 있도록 회사가 이 수준을 달성하도록 돕겠다고 약속할 것입니다.
알버트는 면접에서 긍정적인 모습을 보여주고 싶어 합니다. 그는 외부 위협으로부터 고객과 직원의 개인 정보를 보호하기 위한 회사의 노력을 칭찬할 생각입니다. 하지만 알버트는 회사 내, 특히 전화 마케팅 부문의 높은 이직률을 우려하고 있습니다. 그는 매일 마케팅 업무를 위해 새로 고용된 낯선 얼굴들을 많이 보게 되고, 점심시간에 휴게실에서 장시간 근무와 낮은 임금, 그리고 회사 절차를 노골적으로 무시하는 듯한 태도에 대한 불만을 자주 듣습니다.
게다가 트레저 박스는 최근 두 건의 보안 사고를 겪었습니다. 회사는 내부 감사와 보안 강화 조치를 통해 대응했지만, 수익에는 여전히 악영향을 받고 있으며, 많은 사람들이 여전히 회사에 대한 불신을 갖고 있다는 정황 증거가 있습니다. 알버트는 회사의 회복을 돕고 싶어 합니다. 그는 대중에게 알려지지 않은 사건이 적어도 한 건 더 있다는 것을 알고 있지만, 자세한 내용은 알지 못합니다. 그는 회사가 이 사건을 은폐하려는 태도가 오히려 회사 평판에 악영향을 미칠 수 있다고 생각합니다. 알버트는 트레저 박스의 명성을 되찾기 위해 고객 전용 무료 전화번호를 개설하고, 우편을 통한 고객 문의 응대 절차를 개선하는 방안도 고려하고 있습니다.
알버트는 개선 방안에 대한 제안 외에도 회사의 최근 사업 동향에 대한 자신의 지식이 면접관들에게 좋은 인상을 줄 것이라고 생각합니다. 예를 들어, 알버트는 회사가 향후 몇 주 안에 의료용품 회사를 인수할 계획이라는 사실을 알고 있습니다.
알버트는 미래지향적인 사고방식을 바탕으로 면접관들에게 자신이 그 직책에 적합한 인물임을 확신시켜주기를 바란다.
회사의 새로운 계획들을 고려할 때, 알버트가 인터뷰에서 개인정보보호팀의 우선적인 관심사로 언급하기에 가장 적절한 법률 및 규정은 다음 중 무엇일까요?
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
앨버트는 15년 동안 미국 통신판매 회사인 트레저 박스에서 근무했습니다. 트레저 박스는 한때 전 세계에 장식용 양초를 판매했지만, 최근에는 미국 본토 48개 주에만 배송을 제한하기로 결정했습니다. 오랜 경력에도 불구하고 앨버트는 관리직에서 자주 제외되었습니다. 승진하지 못하는 것에 대한 불만과 최근 개인정보 보호 문제에 대한 관심이 맞물려, 앨버트는 긍정적인 변화를 만들어내고자 하는 동기를 갖게 되었습니다.
앨버트는 곧 새로 공고된 자리에 면접을 볼 예정인데, 면접 과정에서 회사 임원들에게 회사 개인정보 보호 프로그램의 허점을 알릴 계획입니다. 그는 회사의 낡은 정책과 절차로 인해 발생할 수 있는 부정적인 결과를 막았으니 승진할 수 있을 거라고 확신하고 있습니다.
예를 들어, 알버트는 미국 공인회계사협회(AICPA)/캐나다 공인회계사협회(CICA)의 개인정보보호 성숙도 모델(PMM)에 대해 알게 되었습니다. 알버트는 이 모델이 트레저 박스의 개인정보 보호 능력을 측정하는 데 유용한 방법이라고 생각합니다. 알버트는 트레저 박스가 이 모델의 최고 수준 성숙도 요건을 충족하지 못한다는 점을 파악했으며, 면접에서 고객에게 최고 수준의 보안을 제공할 수 있도록 회사가 이 수준을 달성하도록 돕겠다고 약속할 것입니다.
알버트는 면접에서 긍정적인 모습을 보여주고 싶어 합니다. 그는 외부 위협으로부터 고객과 직원의 개인 정보를 보호하기 위한 회사의 노력을 칭찬할 생각입니다. 하지만 알버트는 회사 내, 특히 전화 마케팅 부문의 높은 이직률을 우려하고 있습니다. 그는 매일 마케팅 업무를 위해 새로 고용된 낯선 얼굴들을 많이 보게 되고, 점심시간에 휴게실에서 장시간 근무와 낮은 임금, 그리고 회사 절차를 노골적으로 무시하는 듯한 태도에 대한 불만을 자주 듣습니다.
게다가 트레저 박스는 최근 두 건의 보안 사고를 겪었습니다. 회사는 내부 감사와 보안 강화 조치를 통해 대응했지만, 수익에는 여전히 악영향을 받고 있으며, 많은 사람들이 여전히 회사에 대한 불신을 갖고 있다는 정황 증거가 있습니다. 알버트는 회사의 회복을 돕고 싶어 합니다. 그는 대중에게 알려지지 않은 사건이 적어도 한 건 더 있다는 것을 알고 있지만, 자세한 내용은 알지 못합니다. 그는 회사가 이 사건을 은폐하려는 태도가 오히려 회사 평판에 악영향을 미칠 수 있다고 생각합니다. 알버트는 트레저 박스의 명성을 되찾기 위해 고객 전용 무료 전화번호를 개설하고, 우편을 통한 고객 문의 응대 절차를 개선하는 방안도 고려하고 있습니다.
알버트는 개선 방안에 대한 제안 외에도 회사의 최근 사업 동향에 대한 자신의 지식이 면접관들에게 좋은 인상을 줄 것이라고 생각합니다. 예를 들어, 알버트는 회사가 향후 몇 주 안에 의료용품 회사를 인수할 계획이라는 사실을 알고 있습니다.
알버트는 미래지향적인 사고방식을 바탕으로 면접관들에게 자신이 그 직책에 적합한 인물임을 확신시켜주기를 바란다.
회사의 새로운 계획들을 고려할 때, 알버트가 인터뷰에서 개인정보보호팀의 우선적인 관심사로 언급하기에 가장 적절한 법률 및 규정은 다음 중 무엇일까요?
CIPM 문제 13
대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
당신은 유럽과 미주 여러 국가에 거주하는 개인 정보를 다루는 회사의 개인정보보호 부서를 이끌고 있습니다. 아침 개인정보보호 검토를 시작하려는데 계약 담당자로부터 전화 요청 메시지를 받았습니다. 메시지는 명확하지 않고 구체적이지 않지만, 데이터가 손실된 것으로 짐작됩니다.
계약 담당자에게 연락했더니, 그는 한 협력업체로부터 고객 정보를 부적절하게 공유했다는 내용의 편지를 받았다고 말했습니다. 담당자는 해당 협력업체에 전화하여 귀사가 최근 2,000명을 대상으로 최근 의료 서비스 이용 경험에 대한 설문조사를 실시하고, 그 결과를 데이터베이스에 입력하기 위해 협력업체에 보냈지만, 계약서에 명시된 대로 데이터베이스를 암호화하지 않아 협력업체가 데이터에 대한 통제권을 잃었다는 사실을 확인했습니다.
판매자는 매우 미안해하며 통지서 발송에 대한 책임을 지겠다고 제안합니다. 우표가 붙은 엽서 2,000장을 따로 준비해 두었으니 우편 발송 시간을 단축할 수 있을 거라고 말합니다. 엽서 한쪽 면에는 회사 로고만 넣을 수 있고, 다른 한쪽 면은 비어 있으니 원하는 내용을 자유롭게 적어 넣으라고 합니다. 당신은 일단 제안을 보류하고 공간 제약에 맞춰 내용을 작성하기 시작합니다. 판매자의 로고가 통지서에 포함되는 것은 감수하기로 합니다.
이 알림은 귀사가 최근 세인트 세바스찬 병원 감염병 클리닉에서 받은 최근 진료 기록 정보를 저장하기 위해 외부 업체와 계약을 체결했음을 설명합니다. 해당 업체는 정보를 암호화하지 않았으며 더 이상 해당 정보에 대한 관리 권한을 갖고 있지 않습니다. 영향을 받은 2,000명 모두에게 정보 관련 이메일 알림을 신청하도록 안내하고 있습니다. 신청자는 귀사 웹사이트에 접속하여 간단한 광고를 시청한 후 이름, 이메일 주소, 생년월일(월/년)을 입력하면 됩니다.
오전 9시 전에 사고 대응 위원회에 이메일을 보내 승인을 받습니다. 만약 이 과정에서 문제가 발생할 경우, 책임을 동료들에게 분산시키고 싶기 때문입니다. 이후 8시간 동안 모든 구성원이 이메일을 통해 의견을 주고받습니다. 사고 대응팀을 이끄는 컨설턴트는 회사에 입사한 첫날이지만, 다른 업계에서 45년간 경력을 쌓아왔기에 최선을 다하겠다고 말합니다. 위원회 소속 변호사 세 명 중 한 명이 대화의 방향을 잠시 다른 곳으로 돌리지만, 결국 다시 본론으로 돌아옵니다. 하루가 끝날 무렵, 그들은 당신이 작성한 통지서대로 공급업체에서 제공한 엽서를 사용하기로 투표합니다.
판매자가 엽서를 발송한 직후, 데이터가 도난당한 서버에 저장되어 있었다는 사실을 알게 되고, 회사에서 신용 모니터링 서비스를 제공하기로 결정합니다. 인터넷 검색을 통해 그럴듯한 이름을 가진 신용 모니터링 회사, CRUDLOK(Credit Under Lock and Key)을 찾습니다. 영업 담당자는 2,000명 규모의 계약을 다뤄본 적은 없지만, 하루 만에 CRUDLOK이 다음과 같은 서비스를 제공한다는 내용의 제안서를 작성합니다.
1. 계약서 서명 다음 날 모든 사람에게 등록 초대장을 보내십시오.
2. 이름과 주민등록번호 뒷자리 4자리만으로 등록할 수 있습니다.
3. 등록일로부터 2년간 각 등록자의 학점을 모니터링하십시오.
4. 매달 고객의 신용 등급과 시장 금리에 따른 신용 관련 서비스 제공 내용을 담은 이메일을 발송합니다.
5. 신용 회복 비용의 20%를 회사에 청구하십시오.
계약을 체결하고 2,000명에게 등록 초대 이메일을 발송합니다. 3일 후, 모든 일이 잘 진행된 점과 개선할 수 있었던 점을 기록합니다. 그리고 다음에 비슷한 일이 발생할 때 참고할 수 있도록 파일에 보관합니다.
위 사건 발생 당시 다음 중 올바르게 처리된 것은 무엇입니까?
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
당신은 유럽과 미주 여러 국가에 거주하는 개인 정보를 다루는 회사의 개인정보보호 부서를 이끌고 있습니다. 아침 개인정보보호 검토를 시작하려는데 계약 담당자로부터 전화 요청 메시지를 받았습니다. 메시지는 명확하지 않고 구체적이지 않지만, 데이터가 손실된 것으로 짐작됩니다.
계약 담당자에게 연락했더니, 그는 한 협력업체로부터 고객 정보를 부적절하게 공유했다는 내용의 편지를 받았다고 말했습니다. 담당자는 해당 협력업체에 전화하여 귀사가 최근 2,000명을 대상으로 최근 의료 서비스 이용 경험에 대한 설문조사를 실시하고, 그 결과를 데이터베이스에 입력하기 위해 협력업체에 보냈지만, 계약서에 명시된 대로 데이터베이스를 암호화하지 않아 협력업체가 데이터에 대한 통제권을 잃었다는 사실을 확인했습니다.
판매자는 매우 미안해하며 통지서 발송에 대한 책임을 지겠다고 제안합니다. 우표가 붙은 엽서 2,000장을 따로 준비해 두었으니 우편 발송 시간을 단축할 수 있을 거라고 말합니다. 엽서 한쪽 면에는 회사 로고만 넣을 수 있고, 다른 한쪽 면은 비어 있으니 원하는 내용을 자유롭게 적어 넣으라고 합니다. 당신은 일단 제안을 보류하고 공간 제약에 맞춰 내용을 작성하기 시작합니다. 판매자의 로고가 통지서에 포함되는 것은 감수하기로 합니다.
이 알림은 귀사가 최근 세인트 세바스찬 병원 감염병 클리닉에서 받은 최근 진료 기록 정보를 저장하기 위해 외부 업체와 계약을 체결했음을 설명합니다. 해당 업체는 정보를 암호화하지 않았으며 더 이상 해당 정보에 대한 관리 권한을 갖고 있지 않습니다. 영향을 받은 2,000명 모두에게 정보 관련 이메일 알림을 신청하도록 안내하고 있습니다. 신청자는 귀사 웹사이트에 접속하여 간단한 광고를 시청한 후 이름, 이메일 주소, 생년월일(월/년)을 입력하면 됩니다.
오전 9시 전에 사고 대응 위원회에 이메일을 보내 승인을 받습니다. 만약 이 과정에서 문제가 발생할 경우, 책임을 동료들에게 분산시키고 싶기 때문입니다. 이후 8시간 동안 모든 구성원이 이메일을 통해 의견을 주고받습니다. 사고 대응팀을 이끄는 컨설턴트는 회사에 입사한 첫날이지만, 다른 업계에서 45년간 경력을 쌓아왔기에 최선을 다하겠다고 말합니다. 위원회 소속 변호사 세 명 중 한 명이 대화의 방향을 잠시 다른 곳으로 돌리지만, 결국 다시 본론으로 돌아옵니다. 하루가 끝날 무렵, 그들은 당신이 작성한 통지서대로 공급업체에서 제공한 엽서를 사용하기로 투표합니다.
판매자가 엽서를 발송한 직후, 데이터가 도난당한 서버에 저장되어 있었다는 사실을 알게 되고, 회사에서 신용 모니터링 서비스를 제공하기로 결정합니다. 인터넷 검색을 통해 그럴듯한 이름을 가진 신용 모니터링 회사, CRUDLOK(Credit Under Lock and Key)을 찾습니다. 영업 담당자는 2,000명 규모의 계약을 다뤄본 적은 없지만, 하루 만에 CRUDLOK이 다음과 같은 서비스를 제공한다는 내용의 제안서를 작성합니다.
1. 계약서 서명 다음 날 모든 사람에게 등록 초대장을 보내십시오.
2. 이름과 주민등록번호 뒷자리 4자리만으로 등록할 수 있습니다.
3. 등록일로부터 2년간 각 등록자의 학점을 모니터링하십시오.
4. 매달 고객의 신용 등급과 시장 금리에 따른 신용 관련 서비스 제공 내용을 담은 이메일을 발송합니다.
5. 신용 회복 비용의 20%를 회사에 청구하십시오.
계약을 체결하고 2,000명에게 등록 초대 이메일을 발송합니다. 3일 후, 모든 일이 잘 진행된 점과 개선할 수 있었던 점을 기록합니다. 그리고 다음에 비슷한 일이 발생할 때 참고할 수 있도록 파일에 보관합니다.
위 사건 발생 당시 다음 중 올바르게 처리된 것은 무엇입니까?
CIPM 문제 14
조직이 개인정보보호 프로그램 목표에 맞춰 조정할 때 고려할 수 있는 다양한 형태의 모니터링 방식이 있습니다.
다음 중 어떤 형태의 모니터링이 '감사'라고 가장 잘 설명될 수 있습니까?
다음 중 어떤 형태의 모니터링이 '감사'라고 가장 잘 설명될 수 있습니까?
CIPM 문제 15
대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
당신은 뉴욕에 본사를 두고 캐나다와 독일에도 지사를 둔, 빠르게 성장하는 국제 부동산 회사의 최초 개인정보보호 책임자입니다.
새로운 동료들을 만나기 위해 사무실을 둘러보던 중, 복사실 프린터에 쌓여 있는 인쇄물과 신청자의 이름, 사회보장번호, 집 주소가 적힌 대출 신청서 출력물이 재활용 쓰레기통에 버려져 있는 것을 발견합니다. 즉시 확인해야겠다고 메모해 둡니다.
그러면 IT 부서 책임자가 당신을 따뜻하게 맞이하며 올해 그의 야심작인 기업 고객 관계 관리(CRM) 모바일 프로젝트에 대해 설명해 줍니다. 그는 회사 전체 직원이 인터넷에 연결된 곳이라면 어디에서든 기존 CRM 데이터베이스에 원격으로 접속할 수 있도록 하는 이 혁신적인 프로젝트를 이끌고 있다는 사실에 큰 자부심을 느낍니다. 이 모바일 프로젝트의 사업적 가치는 상당합니다. 사내에 웹 개발 전문가가 없기 때문에 그는 개발 작업을 뉴욕의 한 소규모 IT 회사에 외주했는데, 이 회사는 최근 회사에서 또 다른 IT 프로젝트를 성공적으로 완료한 경험이 있습니다.
투어가 끝나면 관찰 내용을 바탕으로 계획을 수립하기 시작하며, 여기에는 CRM 모빌리티 프로젝트에 대해 논의하기 위해 IT 책임자와의 회의 일정을 잡는 것도 포함됩니다.
(다음 중 아웃소싱 업체와의 계약에 필수적으로 포함되어야 하는 사항이 아닌 것은 무엇입니까?)
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
당신은 뉴욕에 본사를 두고 캐나다와 독일에도 지사를 둔, 빠르게 성장하는 국제 부동산 회사의 최초 개인정보보호 책임자입니다.
새로운 동료들을 만나기 위해 사무실을 둘러보던 중, 복사실 프린터에 쌓여 있는 인쇄물과 신청자의 이름, 사회보장번호, 집 주소가 적힌 대출 신청서 출력물이 재활용 쓰레기통에 버려져 있는 것을 발견합니다. 즉시 확인해야겠다고 메모해 둡니다.
그러면 IT 부서 책임자가 당신을 따뜻하게 맞이하며 올해 그의 야심작인 기업 고객 관계 관리(CRM) 모바일 프로젝트에 대해 설명해 줍니다. 그는 회사 전체 직원이 인터넷에 연결된 곳이라면 어디에서든 기존 CRM 데이터베이스에 원격으로 접속할 수 있도록 하는 이 혁신적인 프로젝트를 이끌고 있다는 사실에 큰 자부심을 느낍니다. 이 모바일 프로젝트의 사업적 가치는 상당합니다. 사내에 웹 개발 전문가가 없기 때문에 그는 개발 작업을 뉴욕의 한 소규모 IT 회사에 외주했는데, 이 회사는 최근 회사에서 또 다른 IT 프로젝트를 성공적으로 완료한 경험이 있습니다.
투어가 끝나면 관찰 내용을 바탕으로 계획을 수립하기 시작하며, 여기에는 CRM 모빌리티 프로젝트에 대해 논의하기 위해 IT 책임자와의 회의 일정을 잡는 것도 포함됩니다.
(다음 중 아웃소싱 업체와의 계약에 필수적으로 포함되어야 하는 사항이 아닌 것은 무엇입니까?)
