CIPM 시험 학습 가이드 무료 모의고사 마지막 업데이트 날짜 2024년 5월 18일 [Q20-Q40]

4/5 - (1 투표)

CIPM 시험 학습 가이드 무료 모의고사 마지막 업데이트 날짜 2024년 5월 18일

새로운 CIPM 2024 업데이트된 검증된 학습 가이드 및 베스트 코스

IAPP CIPM(공인 정보 개인정보 보호 관리자) 인증 시험은 조직 내에서 개인정보 보호 정책과 관행을 관리할 수 있는 기술과 지식을 제공하는 세계적으로 인정받는 자격증입니다. 공인 정보 개인정보 보호 관리자(CIPM) 자격증은 전문가가 글로벌 표준 및 규제 요건을 충족하는 개인정보 보호 프로그램, 정책 및 절차를 개발하고 구현할 수 있도록 설계되었습니다.

IAPP CIPM 자격증은 개인정보 보호 관리 분야에서 경력을 쌓고자 하는 전문가에게 탁월한 선택입니다. 공인 정보 개인정보 보호 관리자(CIPM) 자격증은 글로벌 개인정보 보호법 및 규정에 대한 포괄적인 이해를 제공하고, 조직 내에서 효과적인 개인정보 보호 프로그램을 개발 및 구현할 수 있도록 전문가를 준비시킵니다. 오늘날의 디지털 환경에서 데이터 개인정보 보호의 중요성이 날로 커지고 있는 가운데, CIPM 자격증은 개인정보 관리 분야에서 일하는 모든 사람에게 소중한 자산이 될 것입니다.

 

NO.20 기술 보안 제어의 사용에 관한 다음 중 거짓은 어느 것인가요?

 
 
 
 

NO.21 시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
페니는 최근 가정용품 액세서리를 온라인으로 판매하는 에이스 스페이스에 새로운 개인정보 보호 책임자로 합류했습니다. 이 회사는 캘리포니아에 본사를 두고 있지만 작년에 한 소셜 미디어 인플루언서의 홍보 덕분에 EU에서 매출이 급증했으며, 이러한 확장을 지원하기 위해 아일랜드에 지역 사무소를 설립했습니다. Ace Space의 관행에 익숙해지고 개인정보 보호 우선순위가 무엇인지 평가하기 위해 Penny는 여러 동료들과 미팅을 통해 그들이 해온 업무와 규정 준수 노력에 대해 들어보았습니다.
페니의 마케팅 동료는 새로운 매출과 회사의 계획에 기대가 크지만, 페니가 계획했던 성장 기회가 줄어들지 않을까 걱정도 됩니다. 그는 페니에게 "휴게실에서 누군가가 새로운 개인정보 보호법에 대해 이야기하는 것을 들었지만 우리에게 영향을 미칠 것 같지는 않아요. 저희는 그저 작은 회사일 뿐입니다. 온라인에서 액세서리를 판매할 뿐인데 무슨 큰 위험이 있을까요?" 또한 그는 서둘러 프로젝트를 완료하는 데 도움을 주는 여러 소규모 회사와 협력하고 있다고 말했습니다. "마감일을 맞추지 못하면 손해를 보게 되죠. 저는 계약서에 서명하고 재무팀에 있는 Jim에게 대금 지급을 요청하기만 하면 됩니다. 계약서를 검토하는 데는 시간이 많이 걸리니까요." IT 팀원과의 미팅에서 Penny는 에이스 스페이스가 악성 활동으로부터 웹사이트를 보호하기 위해 여러 가지 예방 조치를 취했지만, 실제 파일이나 내부 인프라에 대해서는 동일한 수준의 관리를 하지 않았다는 사실을 알게 되었습니다. 페니의 IT 부서 동료가 전직 직원이 퇴사하면서 금융 데이터가 담긴 암호화된 USB 키를 분실했다는 이야기를 전해주었습니다. 이 회사는 작년에 피싱 공격의 희생양이 되어 고객 데이터베이스에 대한 액세스 권한을 잃을 뻔했습니다. 페니는 IT 동료로부터 "IT 팀이 무엇을 해야 할지, 누가 무엇을 해야 할지 몰랐다"는 말을 들었다고 합니다. 교육을 받은 적은 없지만 소규모 팀이라서 결국에는 잘 해결되었습니다."라고 말합니다. 페니는 이러한 문제로 인해 에이스 스페이스의 개인정보 보호와 데이터 보호가 손상될까 봐 걱정하고 있습니다.
Penny는 회사의 해외 매출 성장에 대한 확고한 계획이 있다는 것을 알고 있으며, CEO와 긴밀히 협력하여 조직에 데이터 '쇄신'을 가져올 것입니다. 그녀의 임무는 회사 내에서 강력한 개인정보 보호 문화를 조성하는 것입니다.
페니는 오늘 에이스 스페이스의 CEO와 미팅을 하고 첫인상과 다음 단계에 대한 개요를 설명해 달라는 요청을 받았습니다.
페니와 CEO의 목표를 달성하기 위해 페니의 IT 문제를 해결하는 데 가장 도움이 되는 접근 방식은 무엇일까요?

 
 
 
 

NO.22 시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
리처드 맥아담스는 최근 로스쿨을 졸업하고 버지니아주 렉싱턴의 작은 마을로 돌아가 연로하신 할아버지의 법률 사무소 운영을 돕기로 결정했습니다. 할아버지는 자신이 완전히 은퇴한 후 손자가 사무실을 물려받기를 바라며 제한적이고 가벼운 역할을 맡기를 원했습니다. 맥아담스 씨는 Richard를 고용하는 것 외에도 두 명의 법률 보조원과 행정 보조원, 그리고 기본적인 네트워킹 업무를 처리하는 파트타임 IT 전문가를 고용하고 있습니다. 그는 Richard가 자리를 잡고 사무실의 성장 전략을 평가한 후 더 많은 직원을 고용할 계획입니다.
도착하자마자 Richard는 사무실을 현대화하기 위해 해야 할 일의 양에 놀랐고, 주로 고객의 개인 데이터 처리와 관련하여 놀랐습니다. 그의 첫 번째 목표는 파일 캐비닛에 보관된 모든 기록을 디지털화하는 것이었는데, 많은 문서에 개인 식별이 가능한 금융 및 의료 데이터가 포함되어 있었기 때문입니다. 또한 Richard는 행정 보조원이 하루 종일 엄청난 양의 복사를 하는 것을 발견했는데, 이는 파일 캐비닛의 파일 수를 매일 증가시킬 뿐만 아니라 공식적인 정책이 마련되지 않으면 보안 문제가 발생할 수 있습니다. Richard는 또한 건물을 자주 방문하는 고객들이 잘 보이는 곳에 있는 공용 복사기/프린터의 남용을 우려하고 있습니다. 또 다른 우려 영역은 모든 직원이 동일한 팩스기를 사용하는 것입니다. Richard는 개인 데이터가 최대한의 보안과 보호를 받을 수 있도록 팩스 사용을 대폭 줄이고, 연말까지 엄격한 인터넷 팩스 사용 정책을 시행할 계획입니다.
Richard는 할아버지에게 데이터 저장, 데이터 보안 및 모든 측면에서 개인 데이터 보호를 강화하기 위한 전반적인 접근 방식을 업데이트하는 것이 필요하다는 우려를 표명했고, 이에 동의한 McAdams 씨는 그에게 그렇게 할 수 있는 자유와 권한을 부여했습니다. 이제 Richard는 변호사로서의 커리어를 시작할 뿐만 아니라 소규모 로펌의 개인정보 보호 책임자로도 활동하고 있습니다. Richard는 다음 날 IT 직원을 만나 현재 사무실 컴퓨터 시스템이 어떻게 설정되고 관리되는지 파악할 계획입니다.
다음 중 고객의 개인 데이터를 더욱 보호하기 위해 추가 지침이 필요한 정책은 무엇인가요?

 
 
 
 

NO.23 시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
Consolidated Records Corporation의 데이터 보호 책임자로서 귀하는 지금까지의 성과에 대해 당연히 만족하고 계실 것입니다. 귀하는 비교적 경미한 데이터 유출 사고로 인해 규제 기관으로부터 경고를 받았으며, 더 심각한 상황이 될 수도 있었습니다. 그러나 귀하는 회사에 근무한 3년 동안 보고할 만한 사고가 발생하지 않았습니다. 사실, 귀사의 프로그램은 데이터 스토리지 업계의 다른 기업들이 자체 프로그램 개발 시 참고할 만한 모델이라고 생각합니다.
여러분은 여러 정책과 절차가 뒤섞여 있는 상황에서 통합 프로그램을 시작했고, 부서와 운영 전반에 걸쳐 일관성을 유지하기 위해 노력했습니다. 그 과정에서 프로그램의 스폰서인 운영 담당 부사장과 변화의 필요성을 명확히 이해하고 시작한 개인정보 보호팀의 도움을 받았습니다.
처음에는 경영진과 데이터를 다루고 고객과 소통하는 일선 직원들 사이에서 회사의 '올드 가드'들은 여러분의 작업에 별다른 신뢰나 열의를 보이지 않았습니다. 발생한 침해 비용뿐만 아니라 현재 운영 상태를 고려할 때 쉽게 발생할 수 있는 비용에 대한 예측을 보여주는 지표를 사용함으로써 곧 리더와 주요 의사 결정권자를 대부분 당신 편으로 만들 수 있었습니다. 다른 직원들의 저항도 만만치 않았지만 각 부서와의 대면 회의와 기본 개인정보 보호 교육 프로그램 개발로 적절한 절차를 시행할 수 있는 충분한 '동의'를 얻게 되었습니다.
이제 개인정보 보호는 개인 정보 또는 보호 대상 데이터와 관련된 모든 현재 작업의 필수 요소이며 모든 기술 개발 과정의 최종 결과물의 일부가 되어야 합니다. 이러한 접근 방식은 체계적이지는 않지만 상당히 효과적입니다.
고민에 빠지게 됩니다: 프로그램을 유지 관리하고 단순한 데이터 유출 방지 프로그램 이상으로 발전시키기 위해 무엇을 해야 할까요? 성공을 기반으로 어떻게 발전할 수 있을까요? 다음 실행 단계는 무엇인가요?
다음 중 데이터 보호를 구현하기 위한 시스템 접근 방식의 지침으로 가장 효과적으로 사용할 수 있는 것은 무엇인가요?

 
 
 
 

NO.24 시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
수년간 CEO로 일한 경험이 있는 폴 다니엘스는 아들 칼튼의 성공적인 벤처 기업인 Gadgo에 대해 걱정하고 있습니다.
통신 업계에서 빠르게 수익을 창출한 기술 혁신 기업인 Gadgo는 이제 스타트업 단계를 넘어섰습니다. 여전히 활기찬 에너지를 유지하고 있지만, 폴은 칼튼의 지휘 아래서 회사가 위험이나 의무를 심각하게 받아들이지 않을 수 있다고 우려합니다. 폴은 회사를 평가하고 아버지와 아들 모두에게 보고하기 위해 개인정보 보호 컨설턴트인 귀하를 고용했습니다. "칼튼은 제 말을 듣지 않아요."라고 폴은 말합니다,
"하지만 그는 전문가에게 주의를 기울일 수 있습니다."
게임, 장난감, 간식, 에스프레소 머신, 거대한 어항, 심지어는 별다른 관심을 보이지 않는 이구아나까지 있는 Gadgo의 직장은 혁신을 위한 클럽하우스입니다. 칼튼 역시 데이터 보호를 위한 회사의 절차와 기술을 설명하는 데 지루해하는 듯합니다. 일관성이 부족하고 약점이 많은 느슨한 통제 장치들의 집합체입니다. "우리는 기술 회사입니다."라고 칼튼은 말합니다. "우리는 창조합니다. 우리는 혁신합니다. 저는 사람들의 속도를 늦추고 생각을 복잡하게 만드는 불필요한 조치는 원하지 않습니다."라고 말합니다. 회의는 이른 저녁까지 이어집니다. 회의가 끝나고 사무실을 나섭니다. 책상과 테이블, 심지어 바닥에까지 서류가 흩어져 있어 마치 최근 강한 폭풍우가 몰아친 것처럼 보입니다. A
"한 10대 '청소부'가 쓰레기통을 비우고 있습니다. 몇 대의 컴퓨터가 밤새 켜져 있었고 다른 컴퓨터는 사라졌습니다. 칼튼은 이 점에 주목합니다: "대부분의 직원들이 노트북을 집에 가져가거나 태블릿이나 휴대폰을 사용합니다. 저는 직원들이 밤낮을 가리지 않고 생각에 도움이 되는 모든 것을 사용하여 훌륭한 인사이트를 얻을 수 있기를 바랍니다. 그 기회는 단 한 번만 올지도 모릅니다!" Gadgo에게 가장 추천하고 싶은 감사 유형은 무엇인가요?

 
 
 
 

NO.25 다음 중 개인정보 보호 프로그램 지표의 한 유형이 아닌 것은 무엇인가요?

 
 
 
 

NO.26 다음 중 데이터 보존 정책을 개발할 때 고려해야 할 중요한 요소가 아닌 것은 무엇인가요?

 
 
 
 

NO.27 마케팅 팀에서 SMS 수신 동의 확인란이 필요한 이유를 알고 싶어합니다. 이것이 소비자의 권리의 일부라고 설명하시나요?

 
 
 
 

NO.28 다음을 제외한 모든 변경 사항은 데이터 인벤토리 업데이트를 트리거할 가능성이 높습니다.

 
 
 
 

NO.29 시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
Ben은 고객을 위한 조명 솔루션을 설계하는 회사 IgNight의 IT 부서에서 근무하고 있습니다. 주로 미국 내 사무실을 고객으로 두고 있지만, 조명기구의 독특한 미적 감각과 에너지 절약형 디자인에 감명을 받아 전 세계 각지의 가정에 설치해 달라고 요청하는 개인 고객도 있습니다.
어느 일요일 아침, 업무용 노트북으로 다가오는 음악 페스티벌 티켓을 구매하던 벤은 우연히 회사 파일에서 비정상적인 사용자 활동을 발견합니다. 대충 살펴본 결과 모든 데이터는 정상적으로 작동하는 것처럼 보였지만 뭔가 이상하다는 느낌을 떨칠 수 없었습니다. 그는 예정에 없던 유지보수를 수행하는 동료일 가능성이 있다는 것을 알지만, 회사 보안팀에서 직원들에게 업계를 노리는 악의적인 공격자 그룹의 공격을 경계하라는 이메일을 보낸 것을 떠올립니다.
벤은 성실한 직원으로 회사를 지키고 싶지만 주말에 열심히 일하는 동료들을 귀찮게 하고 싶지 않습니다. 그는 아침 일찍 이 관리자와 이 문제를 논의할 예정이지만, 이 분야에 대한 자신의 지식을 입증하고 승진을 위해 자신의 주장을 호소할 수 있도록 준비하고 싶어 합니다.
앞으로 IgNight가 이러한 종류의 보안 이벤트를 관리하기 위해 IT 팀이 준비할 수 있는 가장 좋은 방법은 무엇일까요?

 
 
 
 

NO.30 시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
내셔널와이드 그릴 레스토랑 체인의 CFO인 나탈리아는 동료 임원들이 이렇게 불안해하는 모습을 본 적이 없었습니다. 지난주 회사가 사용하는 데이터 처리 회사가 시스템이 해킹당해 이름, 주소, 생일과 같은 고객 데이터가 유출되었을 수 있다고 보고했습니다. 비록 해킹 시도는 실패로 돌아갔지만, 이 사건으로 인해 몇몇 내셔널 그릴 경영진은 오늘 회의에서 회사의 개인정보 보호 프로그램에 대해 의문을 제기했습니다.
부사장인 앨리스는 이 사건으로 인해 소송이 제기되어 네이션와이드 그릴의 시장 지위가 손상될 수 있다고 말했습니다. 최고 정보 책임자(CIO)인 브렌던은 실제 침해가 발생하더라도 회사를 상대로 소송이 제기될 가능성은 희박하다고 그녀를 안심시키려고 노력했습니다. 하지만 앨리스는 여전히 확신을 갖지 못했습니다.
전직 CEO이자 현재 수석 고문인 스펜서는 데이터 처리에 외주업체를 이용하는 것에 대해 항상 경고해 왔다고 말했습니다. 그는 최소한 보안 사고에 대해 고객에게 알리는 것에 대해 계약상 책임을 져야 한다고 주장했습니다. 그의 견해에 따르면, 네이션와이드 그릴은 자신들이 일으키지 않은 문제로 인해 회사 이름에 먹칠을 해서는 안 된다고 합니다.
비즈니스 개발(BD) 임원 중 한 명인 헤일리는 모두에게 이성을 되찾아 달라고 간청하며 연설했습니다.
"침해는 조직의 최선의 노력에도 불구하고 발생할 수 있습니다."라고 그녀는 말했습니다. "합리적인 대비가 핵심입니다." 그녀는 7년 전 대형 식료품 체인점인 팅커톤스가 네이션와이드 그릴의 냉동 디너를 대량 주문한 후 금융 정보가 유출된 사건을 모두에게 상기시켰습니다. 헤일리는 오랜 기간 동안 관계를 구축하며 쌓은 Tinkerton's의 기업 문화에 대한 탄탄한 이해도를 갖춘 BD 임원으로서 회사의 사고 대응을 성공적으로 관리할 수 있었습니다.
스펜서는 이성을 가지고 행동한다는 것은 BD 직원이 아닌 회사 내 보안 부서에서 보안을 처리하도록 허용하는 것을 의미한다고 답했습니다. 이와 비슷한 방식으로 인사부(HR)는 사고를 예방하기 위해 직원 교육을 더 잘해야 한다고 그는 말했습니다. 그는 내셔널 그릴의 직원들이 회사의 개인정보 보호 프로그램과 관련된 포스터, 이메일, 윤리 부서에서 보낸 메모로 인해 업무가 과중하다고 지적했습니다. 정보의 양이 방대하고 중복되는 경우가 많아 이를 모두 무시하는 경우가 많다고 합니다.
스펜서는 "회사는 개인정보 보호 프로그램에 전념하고 모든 직원을 대상으로 한 달에 한 번씩 정기적으로 대면 교육을 실시해야 합니다."라고 말했습니다. 앨리스는 이 제안은 좋은 취지이지만 현실적이지 않다고 답했습니다. 여러 지역에 지사가 있는 만큼 현지 HR 부서는 교육 일정에 유연성을 가져야 합니다. 나탈리아는 조용히 동의했습니다.
스펜서의 교육 제안에 대한 이의 제기는 어떻게 해결할 수 있나요?

 
 
 
 

NO.31 시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
알버트는 15년 동안 전 세계에 장식용 양초를 판매하던 미국의 통신 판매 회사인 트레져 박스에서 근무했지만, 최근 배송을 미국 내 고객으로 제한하기로 결정했습니다.
48개 인접 주. 다년간의 경력에도 불구하고 Albert는 종종 관리직에서 간과되는 경우가 많습니다. 승진하지 못하는 것에 대한 좌절감과 최근 개인정보 보호 문제에 대한 관심은 알버트가 긍정적인 변화의 주체가 되고자 하는 동기를 부여했습니다.
그는 곧 새로 공고된 직책에 대한 면접을 볼 예정이며, 면접에서 회사의 개인정보 보호 프로그램의 허점을 임원진에게 알릴 계획입니다. 그는 회사의 낡은 정책과 절차로 인한 부정적인 결과를 방지한 공로로 승진이라는 보상을 받을 것이라고 확신합니다.
예를 들어, Albert는 AICPA(미국 공인회계사협회)/CICA(캐나다 공인회계사협회)의 개인정보 성숙도 모델(PMM)에 대해 알게 되었습니다. 알버트는 이 모델이 트레저박스의 개인정보 보호 역량을 측정하는 데 유용한 방법이라고 생각합니다. 알버트는 트레저박스가 이 모델의 최고 수준의 성숙도 요건을 충족하지 못한다는 사실을 알게 되었으며, 인터뷰에서 고객에게 가장 엄격한 보안을 제공하기 위해 회사가 이 수준을 충족하도록 지원하겠다고 약속할 것입니다.
알버트는 인터뷰 중에 긍정적인 전망을 보여주고 싶어 합니다. 그는 외부 위협으로부터 고객과 직원의 개인 데이터를 보호하기 위한 회사의 노력을 칭찬하려고 합니다. 하지만 알버트는 회사 내, 특히 다이렉트 전화 마케팅 분야의 높은 이직률을 걱정하고 있습니다. 그는 매일 마케팅 업무를 위해 고용된 낯선 얼굴들을 많이 만나고, 점심시간에 장시간 근무와 낮은 급여, 그리고 회사 절차를 무시하는 듯한 불만을 자주 듣습니다.
또한 트레저박스에서는 최근 두 건의 보안 사고가 발생했습니다. 트레저박스는 내부 감사와 보안 보호 장치 업데이트를 통해 사건에 대응했습니다. 하지만 수익은 여전히 영향을 받고 있는 것으로 보이며, 많은 사람들이 여전히 불신을 품고 있다는 일화도 있습니다. 알버트는 회사의 회복을 돕고 싶어 합니다.
알버트는 자세한 내용은 모르지만 대중이 알지 못하는 사건이 하나 이상 있다는 것을 알고 있습니다. 그는 회사가 이 사건을 비밀에 부치는 것이 오히려 회사의 평판을 더 떨어뜨릴 수 있다고 생각합니다. 앨버트가 트레저박스의 위상을 되찾는 데 도움이 되고자 하는 또 다른 방법은 고객용 무료 전화번호를 만들고 우편을 통해 고객의 우려 사항에 보다 효율적으로 대응하는 절차를 마련하는 것입니다.
Albert는 개선 제안 외에도 회사의 최근 사업 전략에 대한 지식이 면접관들에게 깊은 인상을 줄 것이라고 믿습니다. 예를 들어, Albert는 회사가 앞으로 몇 주 안에 의료용품 회사를 인수할 계획이라는 사실을 알고 있습니다.
알버트는 진취적인 사고로 면접을 보게 될 관리자들에게 자신이 이 직책에 적합하다는 것을 설득하고자 합니다.
다음 중 알버트에게 추가 지식이 가장 필요할 것 같은 주제는 무엇인가요?

 
 
 
 

NO.32 시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
페니는 최근 가정용품 액세서리를 온라인으로 판매하는 에이스 스페이스에 새로운 개인정보 보호 책임자로 합류했습니다. 이 회사는 캘리포니아에 본사를 두고 있지만 작년에 한 소셜 미디어 인플루언서의 홍보 덕분에 EU에서 매출이 급증했으며, 이러한 확장을 지원하기 위해 아일랜드에 지역 사무소를 설립했습니다. Ace Space의 관행에 익숙해지고 개인정보 보호 우선순위가 무엇인지 평가하기 위해 Penny는 여러 동료들과 미팅을 통해 그들이 해온 업무와 규정 준수 노력에 대해 들어보았습니다.
페니의 마케팅 동료는 새로운 매출과 회사의 계획에 기대가 크지만, 페니가 계획했던 성장 기회가 줄어들지 않을까 걱정도 됩니다. 그는 페니에게 "휴게실에서 누군가가 새로운 개인정보 보호법에 대해 이야기하는 것을 들었지만 우리에게 영향을 미칠 것 같지는 않아요. 저희는 그저 작은 회사일 뿐입니다. 온라인에서 액세서리를 판매할 뿐인데 무슨 큰 위험이 있을까요?" 또한 그는 서둘러 프로젝트를 완료하는 데 도움을 주는 여러 소규모 회사와 협력하고 있다고 말했습니다. "마감일을 맞추지 못하면 손해를 보게 되죠. 저는 계약서에 서명하고 재무팀에 있는 Jim에게 대금 지급을 요청하기만 하면 됩니다. 계약서를 검토하는 데는 시간이 많이 걸리니까요." IT 팀원과의 미팅에서 Penny는 에이스 스페이스가 악성 활동으로부터 웹사이트를 보호하기 위해 여러 가지 예방 조치를 취했지만, 실제 파일이나 내부 인프라에 대해서는 동일한 수준의 관리를 하지 않았다는 사실을 알게 되었습니다. 페니의 IT 부서 동료가 전직 직원이 퇴사하면서 금융 데이터가 담긴 암호화된 USB 키를 분실했다는 이야기를 전해주었습니다. 이 회사는 작년에 피싱 공격의 희생양이 되어 고객 데이터베이스에 대한 액세스 권한을 잃을 뻔했습니다. 페니는 IT 동료로부터 "IT 팀이 무엇을 해야 할지, 누가 무엇을 해야 할지 몰랐다"는 말을 들었다고 합니다. 교육을 받은 적은 없지만 소규모 팀이라서 결국에는 잘 해결되었습니다."라고 말합니다. 페니는 이러한 문제로 인해 에이스 스페이스의 개인정보 보호와 데이터 보호가 손상될까 봐 걱정하고 있습니다.
Penny는 회사의 해외 매출 성장에 대한 확고한 계획이 있다는 것을 알고 있으며, CEO와 긴밀히 협력하여 조직에 데이터 '쇄신'을 가져올 것입니다. 그녀의 임무는 회사 내에서 강력한 개인정보 보호 문화를 조성하는 것입니다.
페니는 오늘 에이스 스페이스의 CEO와 미팅을 하고 첫인상과 다음 단계에 대한 개요를 설명해 달라는 요청을 받았습니다.
현재 에이스 스페이스의 개인정보 보호 성숙도 기준선을 설정하기 위해 페니는 다음을 제외한 모든 요소를 고려해야 합니다.

 
 
 
 

NO.33 시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
잭 켈리는 특정 '불량' 사무소를 개혁한 공로로 회사 내에서는 스페셜 핸들링 쉬핑에서 막강한 명성을 누리고 있습니다. 지난해에는 경찰의 급습 작전으로 미국 로드아일랜드주 프로비던스 사무소에서 마약 조직이 운영되고 있다는 사실이 밝혀졌다는 뉴스가 보도되었습니다. 이 사무실의 비디오 감시 카메라에 찍힌 영상이 언론에 유출되면서 특수 취급 담당 직원과 잠복 요원들이 마약을 주고받는 장면이 포착되었습니다.
이 사건 이후 켈리는 프로비던스로 파견되어 범죄 조직이 불법 거래를 할 수 있도록 방치한 것으로 여겨지는 고위 경영진의 '손 놓고 있는' 문화를 바꾸기 위해 노력했습니다. Kelly의 지시를 받은 지 몇 주 만에 사무실은 효율성과 고객 서비스의 모범이 되었습니다. Kelly는 이전 동료들의 불법 행위를 녹화했던 동일한 카메라를 사용하여 직원들의 활동을 모니터링했습니다.
이제 Kelly는 또 다른 문제 지역인 아일랜드 코크의 사무실을 돌보는 임무를 맡게 되었습니다. 회사는 직원들이 사무실을 비운 채 자리를 비운다는 보고를 수차례 받았습니다. 켈리가 도착했을 때, 그는 직원들이 사무실에 있을 때에도 휴대폰으로 사교 활동을 하거나 개인적인 업무를 처리하는 경우가 많다는 사실을 발견했습니다. 그는 다시 감시 카메라를 통해 직원들의 행동을 관찰했습니다. 그는 첫날 영상만 보고 6명의 직원에게 서면 질책을 내렸습니다.
Kelly는 놀랍고 억울하게도 현재 그와 회사는 직원의 개인정보 보호권을 침해한 혐의로 아일랜드 데이터 보호 위원회의 조사를 받고 있습니다. Kelly는 카메라에 대한 회사의 라이선스에 시설 보안이 주요 용도로 명시되어 있다는 말을 들었지만 이것이 왜 중요한지 알지 못합니다. 그는 상사에게 개인정보 보호 및 데이터 수집에 관한 회사의 교육 프로그램에 감시 영상에 대한 언급이 전혀 없다고 지적했습니다.
귀하는 이 사건을 평가하고 법률 및 규정 준수 문제를 보고하며 다음 단계를 권고하기 위해 회사에서 고용한 개인정보 보호 컨설턴트입니다.
규제 당국이 현재 조사 중이라는 사실을 알고 있다면 어떤 조치를 취하는 것이 가장 좋을까요?

 
 
 
 

NO.34 시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
Edufox는 유명한 이러닝 소프트웨어 플랫폼 사용자들의 연례 컨벤션을 주최해 왔으며, 시간이 지남에 따라 대규모 행사로 자리 잡았습니다. 시내의 대형 컨퍼런스 호텔 중 한 곳을 가득 채우고 다른 호텔들로 넘쳐나며 수천 명의 참석자가 3일 동안 프레젠테이션, 패널 토론, 네트워킹을 즐깁니다. 이 컨벤션은 회사의 제품 출시 일정의 중심이자 기존 사용자를 위한 훌륭한 교육 기회입니다. 또한 영업팀은 잠재 고객이 참석하여 다양한 요구 사항을 충족하도록 시스템을 맞춤화할 수 있는 방법을 더 잘 이해하고 이 시스템을 구매하면 가족 같은 커뮤니티에 합류하게 된다는 점을 이해하도록 권장합니다.
올해 컨퍼런스가 불과 3주 앞으로 다가왔고, 이를 지원하는 새로운 이니셔티브에 대한 소식을 들으셨을 것입니다:
참석자를 위한 스마트폰 앱입니다. 이 앱은 늦은 시간 등록을 지원하고, 주요 프레젠테이션을 하이라이트하며, 컨퍼런스 프로그램의 모바일 버전을 제공합니다. 또한 해당 지역에서 최고의 요리를 제공하는 레스토랑 예약 시스템과도 연결됩니다. "정말 멋질 거예요." 개발자인 데이드레 호프먼은 "실제로 작동하기만 한다면요!"라고 말합니다. 그녀는 긴장한 듯 웃으면서도 앱 개발 기간이 촉박해서 현지 회사에 아웃소싱을 맡겼다고 설명합니다. "겨우 세 명의 젊은이들이지만 정말 대단한 일을 해내고 있습니다."라고 그녀는 말합니다. 그녀는 그들이 만든 다른 앱에 대해 설명합니다. 어떻게 이 일을 맡게 되었느냐는 질문에 데이드레는 어깨를 으쓱합니다. "좋은 일을 하니까 제가 선택했습니다." Deidre는 뛰어난 실적을 자랑하는 훌륭한 직원입니다. 그래서 이 급한 프로젝트를 맡게 된 것입니다. 그녀는 회사의 이익을 최우선으로 생각하고 있으며, 더 이상 미룰 수 없는 마감 기한에 맞춰야 한다는 압박을 받고 있다는 것은 의심할 여지가 없습니다. 하지만 앱의 개인 데이터 처리와 보안 안전장치에 대한 우려가 생깁니다. 휴게실에서 점심을 먹으며 이에 대해 이야기하기 시작하지만, 그녀는 재빨리 "필요하다면 보안 문제를 해결할 수 있겠지만, 그럴 일은 없을 것 같다"며 안심시키려 합니다. 이 사람들은 생계를 위해 앱을 만드는 사람들이고, 자신이 무엇을 하는지 잘 알고 있습니다. 걱정이 너무 많지만 그래서 일을 잘하는 거예요!" 이 문제에서 정상적인 프로토콜을 따르지 않았다는 점을 지적하고 싶을 것입니다.
특히 어떤 프로세스를 소홀히 했나요?

 
 
 
 

NO.35 회사는 B2B 서비스를 위한 SaaS 도구를 제공하며 개별 소비자와는 상호 작용하지 않습니다. 고객의 현재 직원이 삭제 권한을 요청하는 연락을 받았는데 가장 적절한 대응은 무엇인가요?

 
 
 
 

NO.36 시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
회사의 새로운 CEO인 Thomas Goddard는 데이터 보호 분야의 리더로 알려지기를 원합니다. 고다드는 최근까지 전 세계 수백만 명의 사용자를 보유한 온라인 동영상 시청의 선구자인 Hoopy.com의 최고 재무 책임자로 근무했습니다. 안타깝게도 후피는 개인 데이터를 마케터에게 무단으로 판매하는 등 윤리적으로 의심스러운 관행으로 개인정보 보호 업계에서 악명이 높습니다. 또한 후피는 "적절한" 데이터 보호 장치를 갖추고 있다는 회사의 주장에도 불구하고 최소 200만 개의 신용카드 번호가 도용된 것으로 추정되는 신용카드 데이터 도난 사건의 표적이 되어 전 세계 언론의 헤드라인을 장식한 바 있습니다. 이 스캔들은 경쟁업체들이 유사한 엔터테인먼트 및 미디어 콘텐츠를 제공하면서 보호 수준을 높인 제품을 빠르게 출시하면서 회사의 비즈니스에 영향을 미쳤습니다. 스캔들이 터진 지 3주 만에 고다드의 멘토였던 후피의 창립자이자 CEO인 맥스웰 마틴은 강제로 물러나야 했습니다.
하지만 고다드는 이제 막 창업 단계에 접어든 회사 Medialite의 CEO 자리를 꿰차며 성공적으로 안착한 것으로 보입니다. 그는 업계 최고의 데이터 보호 표준과 절차를 기반으로 브랜드를 구축하겠다는 비전을 회사 이사회와 투자자들에게 설득했습니다.
그는 개인 정보 보호와 관련하여 부패하거나 심지어 불량한 조직의 핵심 멤버였을 수도 있지만, 지금은 개인 정보 보호의 진정한 신봉자이자 개혁을 주장하고 있습니다. 취임 첫 주에 그는 여러분을 사무실로 불러 개인정보 보호에 대한 자신의 비전을 실현하는 것이 여러분의 주요 업무 책임이라고 설명합니다. 하지만 몇 가지 의구심도 감지됩니다. "우리는 Medialite가 절대적으로 최고의 기준을 갖기를 원합니다."라고 그는 말합니다. "사실 저는 우리가 개인 정보 보호 및 데이터 보호 분야에서 확실한 업계 리더라고 말할 수 있기를 바랍니다. 하지만 저는 또한 회사의 재정을 책임감 있게 관리해야 합니다. 따라서 전반적으로 최고의 솔루션을 원하지만 비용 효율적이어야 합니다." 일주일 후에 추천 사항을 정리하여 다시 보고하라는 지시를 받았습니다. 이 모호한 임무를 맡은 당신은 이미 다음 단계를 고려하며 임원실을 떠납니다.
개인정보 보호 프로그램 성숙도에 대해 CEO에게 프레젠테이션을 하고 있습니다. AICPA/CICA 개인정보 보호 성숙도 모델에 따르면 '관리되는' 개인정보 보호 프로그램이 있다는 것은 무엇을 의미하나요?

 
 
 
 

NO.37 시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
당신은 유럽과 미주 여러 국가에 거주하는 개인의 정보를 취급하는 회사의 개인정보 보호 부서를 이끌고 있습니다. 그날 아침 계약 담당자가 전화 통화를 요청하는 메시지를 보내면서 개인정보 보호 검토를 시작합니다. 메시지에는 명확성과 세부 사항이 부족하지만 데이터가 분실된 것으로 추정합니다.
계약 담당자에게 문의한 결과, 그는 벤더가 고객에 대한 정보를 부적절하게 공유했다는 내용의 편지를 우편으로 받았다고 말합니다. 그는 공급업체에 전화하여 귀사가 최근 정확히 2000명의 개인을 대상으로 가장 최근의 의료 서비스 경험에 대해 설문조사를 실시하여 이를 데이터베이스에 기록하기 위해 공급업체에 보냈지만 공급업체가 계약에서 약속한 대로 데이터베이스를 암호화하는 것을 잊어버렸다는 사실을 확인했습니다. 그 결과 공급업체는 데이터에 대한 통제권을 잃었습니다.
판매업체는 매우 사과하며 통지서 발송에 대한 책임을 지겠다고 합니다. 우편으로 통지서를 받는 데 걸리는 시간을 줄이기 위해 우표가 붙은 엽서 2000장을 따로 준비해 두었다고 말합니다. 한 면은 로고로 제한되어 있지만 다른 한 면은 공백으로 되어 있으며 원하는 내용을 무엇이든 적을 수 있다고 합니다. 당신은 그들의 제안을 보류하고 공간 제약에 맞춰 텍스트를 개발하기 시작합니다. 공급업체의 로고가 알림과 연결되도록 하는 것으로 만족합니다.
이 알림에는 귀사가 최근 성 세바스찬 병원의 감염병 클리닉에서 가장 최근에 경험한 정보를 저장하기 위해 공급업체를 고용했다고 설명합니다. 이 공급업체는 정보를 암호화하지 않았으며 더 이상 정보를 제어할 수 없습니다. 영향을 받은 2,000명의 모든 개인은 자신의 정보에 대한 이메일 알림을 신청하도록 초대받습니다. 이들은 회사 웹사이트로 이동하여 간단한 광고를 시청한 후 이름, 이메일 주소, 생년월일을 입력하기만 하면 됩니다.
오전 9시 이전에 사고 대응 협의회에 이메일을 보내 동의를 구합니다. 이 상황에서 문제가 발생하면 동료들에게 책임을 전가하고 싶기 때문입니다. 이후 8시간 동안 모두가 이메일을 통해 의견을 주고받습니다. 사고 대응팀을 이끌고 있는 컨설턴트는 회사에서는 처음이지만 45년 동안 다른 업계에 종사해 왔기 때문에 최선을 다할 것이라고 말합니다. 협의회에 참석한 세 명의 변호사 중 한 명으로 인해 대화가 잠시 궤도를 벗어났지만 결국 다시 제자리로 돌아옵니다. 결국 그들은 당신이 작성한 공지를 진행하기로 투표하고 벤더의 엽서를 사용합니다.
공급업체가 엽서를 우편으로 보낸 직후, 도난당한 서버에 데이터가 있다는 사실을 알게 되고 회사에 신용 모니터링 서비스를 요청하기로 결정합니다. 인터넷 검색을 통해 신용 모니터링 회사라는 그럴듯한 이름을 가진 CRUDLOK(Credit Under Lock and Key)을 찾습니다. 영업 담당자는 2000명 규모의 계약을 처리해 본 적이 없지만 하루 만에 CRUDLOK이 가능하다는 제안서를 작성합니다:
1. 계약이 체결된 다음 날 모든 사람에게 등록 초대장을 보냅니다.
2. 이름과 국가 식별번호의 마지막 4자리만 입력하면 등록할 수 있습니다.
3. 등록한 날로부터 2년 동안 각 등록자의 크레딧을 모니터링합니다.
4. 매월 신용 등급과 신용 관련 서비스를 시장 요율로 제안하는 이메일을 발송합니다.
5. 회사에 신용 회복 비용의 20%를 청구합니다.
계약을 체결하고 2000명의 개인에게 등록 초대장을 이메일로 보냅니다. 3일 후, 잘된 점과 개선할 수 있었던 점을 모두 문서화합니다. 다음에 사고가 발생했을 때 참조할 수 있도록 파일에 저장합니다.
신용 모니터링과 관련하여 다음 중 가장 우려되는 것은 무엇인가요?

 
 
 
 

NO.38 다음 중 귀사에 적합한 개인정보 보호 프레임워크를 개발했음을 나타내는 것은 무엇인가요?

 
 
 
 

NO.39 시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
바로 여러분이 우려했던 일입니다. 조직의 정보 기술 책임자는 여러분과 상의 없이 직원들이 개인 기기를 사용하여 업무를 수행하도록 장려하는 새로운 이니셔티브를 시작했습니다. 이 이니셔티브는 새로운 고사양 노트북 컴퓨터 구매를 매력적인 옵션으로 만들었고, 할인된 노트북 구매 비용을 1년 동안 급여 공제 방식으로 지급했습니다. 조직은 판매세도 지불하고 있습니다. 한 달이 지나자 조직 직원의 절반 이상이 노트북을 새로 구입했습니다. 시설을 돌아다니다 보면 직원들이 새 컴퓨터에서 즐겁게 노트를 커스터마이징하고 비교하는 모습을 볼 수 있으며, 하루가 끝나면 대부분 노트북을 가져가서 집이나 다른 알 수 없는 장소로 개인 데이터를 가져갈 가능성이 있습니다. 이 정도면 데이터 보호에 대한 악몽을 꾸기에 충분하며, 정보 기술 책임자와 조직의 다른 많은 사람들에게 데이터 손실이나 도난의 불가피성을 포함해 이 새로운 관행의 잠재적 위험성을 지적해 왔습니다.
오늘 사무실에 조직의 마케팅 부서 담당자가 찾아와 잠재적으로 심각한 결과를 초래할 수 있는 이야기를 마지못해 들려주었습니다. 전날 밤, 퇴근 후 곧바로 노트북을 들고 불 앤 혼 펍에 가서 친구들과 당구를 쳤습니다. 노트북을 재킷 아래 벤치에 '안전하게' 넣어둔 채로 스포츠와 사교의 즐거운 밤이 시작되었습니다. 그날 밤 늦게 퇴근 시간이 되어 재킷을 찾았지만 노트북은 사라져 있었습니다. 노트북은 벤치 밑이나 근처의 다른 벤치에도 없었습니다. 웨이터도 노트북을 보지 못했습니다. 친구들이 장난을 친 것이 아니었습니다. 잠 못 이루는 밤을 보낸 후, 그는 오늘 아침 펍에 들러 청소 직원과 이야기를 나누며 이를 확인했습니다. 그들은 그것을 찾지 못했습니다. 노트북이 없어진 거죠. 도난당한 것 같았어요. 그는 당황하고 화가 난 표정으로 당신을 바라보았습니다.
노트북에 고객들의 개인 데이터가 들어 있냐고 묻자 안타깝게도 그는 고개를 끄덕이며 그렇다고 대답합니다. 그는 이름, 주소, 주민등록번호 등 약 100명의 고객에 대한 파일이 들어 있는 것으로 추정합니다. 그는 한숨을 내쉬며 절망에 빠진 채 고개를 손에 짚습니다.
비즈니스 관점에서 직원이 업무 관련 업무에 개인 장비를 사용하는 것을 가장 생산적으로 볼 수 있는 방법은 무엇인가요?

 
 
 
 

NO.40 다음 중 PCI DSS 프레임워크에서 요구하지 않는 통제는 무엇인가요?

 
 
 
 

실제 182개 문항으로 CIPM 시험에 대비하세요: https://www.examslabs.com/IAPP/Certified-Information-Privacy-Manager/best-CIPM-exam-dumps.html