이 페이지는 시험 연구소 브레인덤프 [ http://blog.examslabs.com ]에서 내보낸 페이지입니다. 내보내기 날짜:월 23 12:52:49 2024 / +0000 GMT ___________________________________________________ Title: CIPM 시험 학습 가이드 무료 모의고사 마지막 업데이트 날짜 2024년 5월 18일 [Q20-Q40] --------------------------------------------------- CIPM 시험 학습 가이드 무료 모의고사 마지막 업데이트 날짜 2024년 5월 18일 새로운 CIPM 2024 업데이트된 검증된 학습 가이드 및 베스트 코스 IAPP CIPM(공인 정보 개인정보 보호 관리자) 인증 시험은 조직 내에서 개인정보 보호 정책과 관행을 관리할 수 있는 기술과 지식을 개인에게 제공하는 세계적으로 인정받는 자격증입니다. 공인 정보 개인정보 보호 관리자(CIPM) 자격증은 전문가가 글로벌 표준 및 규제 요건을 충족하는 개인정보 보호 프로그램, 정책 및 절차를 개발하고 구현할 수 있도록 설계되었습니다. 개인정보 보호 관리 분야에서 경력을 쌓고자 하는 전문가에게 IAPP CIPM 자격증은 탁월한 선택입니다. 공인 정보 개인정보 보호 관리자(CIPM) 자격증은 글로벌 개인정보 보호법 및 규정을 포괄적으로 이해하고 조직 내에서 효과적인 개인정보 보호 프로그램을 개발 및 구현할 수 있도록 전문가를 준비시킵니다. 오늘날의 디지털 환경에서 데이터 개인정보 보호의 중요성이 날로 커지고 있는 가운데, CIPM 자격증은 개인정보 관리 분야에서 일하는 모든 사람에게 소중한 자산이 될 것입니다. 20번 기술 보안 제어의 사용에 관한 설명 중 옳지 않은 것은? 기술 보안 제어는 데이터 거버넌스 전략의 일부입니다. 한 관할권에 대해 배포된 기술 보안 제어는 종종 다른 관할권을 충족합니다. 대부분의 개인정보 보호법에는 구현해야 하는 기술 보안 제어의 유형이 나열되어 있습니다. 보안 지식이 있는 사람이 기술 보안 통제 배포에 참여해야 합니다. 21번 시나리오다음 질문에 답하기 위해 다음을 활용하세요.페니는 최근 가정용품 액세서리를 온라인으로 판매하는 에이스 스페이스에 새로운 개인정보 보호 책임자로 입사했습니다. 이 회사는 캘리포니아에 본사를 두고 있지만 작년에 한 소셜 미디어 인플루언서의 홍보 덕분에 유럽에서 매출이 급증하여 아일랜드에 지역 지사를 설립하여 사업 확장을 지원하고 있습니다. Ace Space의 관행에 익숙해지고 개인정보 보호 우선순위가 무엇인지 평가하기 위해 Penny는 여러 동료들과 미팅을 예약하여 그들이 해온 업무와 규정 준수 노력에 대해 들었습니다. Penny의 마케팅 담당 동료는 새로운 매출과 회사의 계획에 기대가 크지만 Penny가 계획했던 일부 성장 기회가 축소될 수 있다는 우려도 함께 가지고 있습니다. 그는 페니에게 "휴게실에서 누군가 새로운 개인정보 보호법에 대해 이야기하는 것을 들었지만 우리에게 영향을 미칠 것 같지는 않아요. 저희는 작은 회사에 불과합니다. 온라인에서 액세서리를 판매할 뿐인데 무슨 큰 위험이 있을까요?" 또한 그는 서둘러 프로젝트를 완료하는 데 도움을 주는 여러 소규모 회사와 협력하고 있다고 말했습니다. "마감일을 맞추지 못하면 손해를 보게 되죠. 저는 계약서에 서명하고 재무팀에 있는 Jim에게 대금 지급을 요청하기만 하면 됩니다. 계약서를 검토하는 데는 시간이 많이 걸리니까요." IT 팀원과의 미팅에서 Penny는 에이스 스페이스가 악성 활동으로부터 웹사이트를 보호하기 위해 여러 가지 예방 조치를 취했지만, 실제 파일이나 내부 인프라에 대해서는 동일한 수준의 관리를 하지 않았다는 사실을 알게 되었습니다. 페니의 IT 부서 동료가 전직 직원이 퇴사하면서 금융 데이터가 담긴 암호화된 USB 키를 분실했다는 이야기를 전해주었습니다. 이 회사는 작년에 피싱 공격의 희생양이 되어 고객 데이터베이스에 대한 액세스 권한을 거의 잃을 뻔했습니다. 페니는 IT 동료로부터 "IT 팀이 무엇을 해야 할지, 누가 무엇을 해야 할지 몰랐다"는 말을 들었다고 합니다. 교육을 받은 적은 없지만 소규모 팀이라서 결국에는 잘 해결되었습니다."라고 말합니다. 페니는 이러한 문제가 에이스 스페이스의 개인정보 보호와 데이터 보호에 영향을 미칠 것을 우려하고 있습니다. 페니는 회사가 해외 매출을 늘리려는 확실한 계획을 가지고 있으며, CEO와 긴밀히 협력하여 조직에 데이터 '쇄신'을 제공할 것입니다. 그녀의 임무는 회사 내에서 강력한 개인 정보 보호 문화를 조성하는 것입니다.페니는 오늘 에이스 스페이스의 CEO와 미팅이 있는데, 첫인상과 다음 단계에 대한 개요를 알려달라는 요청을 받았습니다.페니와 CEO의 목표를 돕기 위해, 그녀의 IT 문제를 해결하는 데 가장 도움이 되는 접근 방식은 무엇일까요? 암호화 정책 배포 테이블 탑 연습 수행 IT 자산의 인벤토리를 유지합니다. 모든 IT 직원을 대상으로 타운홀 토론 개최 22번 시나리오다음 질문에 답하기 위해 다음을 사용하세요.리처드 맥아담스는 최근 로스쿨을 졸업하고 연로하신 할아버지의 법률 사무소 운영을 돕기 위해 버지니아주 렉싱턴의 작은 마을로 돌아가기로 결정했습니다. 맥아담스 할아버지는 자신이 완전히 은퇴하면 손자가 그 자리를 물려받기를 바라며 제한적이고 가벼운 역할을 맡기를 원했습니다. 맥아담스 씨는 Richard를 고용하는 것 외에도 두 명의 법률 보조원과 행정 보조원, 그리고 기본적인 네트워킹 업무를 처리하는 파트타임 IT 전문가를 고용하고 있습니다. 그는 Richard가 자리를 잡고 사무실의 성장 전략을 평가한 후 더 많은 직원을 고용할 계획입니다. 도착하자마자 Richard는 주로 고객의 개인 데이터 처리와 관련하여 사무실을 현대화하기 위해 수행해야 할 작업의 양에 놀랐습니다. 그의 첫 번째 목표는 파일 캐비닛에 보관된 모든 기록을 디지털화하는 것이었는데, 많은 문서에 개인 식별이 가능한 금융 및 의료 데이터가 포함되어 있었기 때문입니다. 또한 Richard는 행정 보조원이 하루 종일 엄청난 양의 복사를 하는 것을 발견했는데, 이는 파일 캐비닛의 파일 수를 매일 증가시킬 뿐만 아니라 공식적인 정책이 마련되지 않으면 보안 문제가 발생할 수 있습니다. Richard는 또한 건물을 자주 방문하는 고객들이 잘 보이는 곳에 있는 공용 복사기/프린터의 남용을 우려하고 있습니다. 또 다른 우려되는 부분은 모든 직원이 동일한 팩스기를 사용하는 것입니다. Richard는 개인 데이터가 최대한의 보안과 보호를 받을 수 있도록 팩스 사용을 대폭 줄이고 연말까지 엄격한 인터넷 팩스 정책으로 전환할 계획입니다.Richard는 할아버지에게 데이터 저장, 데이터 보안 및 모든 측면에서 개인 데이터 보호를 강화하기 위한 전반적인 접근 방식을 업데이트하는 것이 필요하다는 우려를 표명했고, McAdams 씨는 그에게 그렇게 할 수 있는 자유와 권한을 부여해 주었습니다. 이제 Richard는 변호사로서의 커리어를 시작할 뿐만 아니라 소규모 로펌의 개인정보 보호 책임자로도 활동하고 있습니다. 리차드는 다음 날 IT 직원을 만나 현재 사무실 컴퓨터 시스템이 어떻게 설정되고 관리되는지 파악할 계획입니다.다음 중 고객의 개인 데이터를 더욱 보호하기 위해 추가 지침이 필요한 정책 문구는? 사무실에서 보내는 모든 팩스는 문서화해야 하며, 사용된 전화번호를 다시 확인하여 안전하게 도착하는지 확인해야 합니다. 사용하지 않은 모든 복사본, 인쇄물, 팩스는 워크스테이션 근처에 있는 지정된 재활용 쓰레기통에 버려야 하며 매일 비워야 합니다. 복사기, 프린터, 팩스를 교체하거나 재판매하기 전에 사무실을 떠나기 전에 해당 기기의 하드 드라이브를 삭제해야 합니다. 개인 데이터가 포함된 인쇄 작업을 전송할 때는 인쇄 명령 후 컴퓨터 화면에 정보가 표시된 상태로 두지 말고 인쇄된 문서를 즉시 회수해야 합니다. 23번 시나리오다음 질문에 답하기 위해 다음을 활용하십시오.귀하는 통합 기록 공사의 데이터 보호 책임자로서 지금까지의 성과에 대해 정당하게 만족하고 있습니다. 귀하는 비교적 경미한 데이터 유출 사고로 인해 규제 기관으로부터 경고를 받았으며, 이는 더 심각한 상황으로 이어질 수 있었습니다. 그러나 귀하는 회사에 근무한 3년 동안 보고할 만한 사고가 발생하지 않았습니다. 사실, 귀하는 데이터 스토리지 업계의 다른 기업들이 자체 프로그램 개발에서 주목할 만한 모델이라고 생각합니다. 귀하는 여러 가지 정책과 절차가 뒤섞여 있던 Consolidated에서 프로그램을 시작했고 부서와 운영 전반에 걸쳐 일관성을 유지하기 위해 노력했습니다. 이 과정에서 프로그램의 후원자인 운영 담당 부사장과 변화의 필요성에 대한 명확한 이해에서 출발한 개인정보 보호팀의 도움을 받았으며, 처음에는 경영진과 일선에서 데이터를 다루고 고객과 소통하는 직원들 사이에서 회사의 '올드 가드'들이 자신감이나 열의가 부족하다는 반응을 보였습니다. 발생한 침해 비용뿐만 아니라 현재 운영 상태를 고려할 때 쉽게 발생할 수 있는 비용에 대한 예측을 보여주는 지표를 사용함으로써 곧 리더와 주요 의사 결정권자를 대부분 당신 편으로 만들 수 있었습니다. 다른 직원들의 저항도 만만치 않았지만, 각 부서와의 대면 회의와 기본 개인정보 보호 교육 프로그램 개발로 적절한 절차를 시행할 수 있는 충분한 '동의'를 얻었습니다.이제 개인정보 보호는 개인정보 또는 보호 대상 데이터와 관련된 모든 현재 운영의 필수 요소이며 기술 개발 과정의 최종 결과물의 일부가 되어야 합니다. 귀하의 접근 방식이 체계적이지는 않지만 상당히 효과적입니다: 프로그램을 유지 관리하고 단순한 데이터 유출 방지 프로그램 이상으로 발전시키려면 무엇을 해야 할까요? 성공을 기반으로 어떻게 구축할 수 있을까요? 다음 실행 단계는 무엇입니까? 다음 중 데이터 보호를 구현하기 위한 시스템 접근 방식의 지침으로 가장 효과적으로 사용할 수 있는 것은 무엇입니까? 데이터 수명 주기 관리 표준 유엔 개인정보보호기구 표준 국제 표준화 기구 9000 시리즈 국제 표준화 기구 27000 시리즈 설명/참조: https://www.itgovernance.co.uk/blog/what-is-the-iso-27000-series-of-standardsNO.24 시나리오다음 질문에 답하기 위해 다음을 활용하세요.다년간의 CEO 경험을 가진 폴 다니엘스는 아들 칼튼의 성공적인 벤처 기업인 Gadgo가 걱정입니다.통신 업계에서 기술 혁신으로 빠르게 수익을 창출한 Gadgo는 스타트업 단계를 넘어섰습니다. 여전히 활기찬 에너지를 유지하고 있지만, 폴은 칼튼의 지휘 아래서 회사가 위험이나 의무를 심각하게 받아들이지 않을 수 있다는 점을 우려하고 있습니다. 폴은 회사를 평가하고 아버지와 아들 모두에게 보고하기 위해 개인정보 보호 컨설턴트인 귀하를 고용했습니다. "칼튼은 제 말을 듣지 않겠지만 전문가라면 귀를 기울일지도 모르죠."가드고의 직장은 게임, 장난감, 스낵, 에스프레소 머신, 거대한 어항, 심지어는 별 관심 없이 바라보는 이구아나까지 있는 혁신의 클럽하우스입니다. 칼튼 역시 데이터 보호를 위한 회사의 절차와 기술을 설명하는 데 지루해하는 듯합니다. 일관성이 부족하고 약점이 많은 느슨한 통제 장치들의 집합체입니다. "우리는 기술 회사입니다."라고 칼튼은 말합니다. "우리는 창조합니다. 우리는 혁신합니다. 저는 사람들의 속도를 늦추고 생각을 복잡하게 만드는 불필요한 조치는 원하지 않습니다."라고 말합니다. 회의는 이른 저녁까지 이어집니다. 회의가 끝나고 사무실을 나섭니다. 책상과 테이블, 심지어 바닥에까지 서류가 흩어져 있어 마치 최근에 강한 폭풍우가 몰아친 것처럼 보입니다. 10대 청소년 한 명으로 구성된 '청소부'가 쓰레기통을 비우고 있습니다. 몇 대의 컴퓨터는 밤새 켜져 있었고, 다른 컴퓨터는 없어졌습니다. 칼튼은 이 점에 주목합니다: "대부분의 직원들이 노트북을 집에 가져가거나 태블릿이나 휴대폰을 사용합니다. 저는 직원들이 밤낮을 가리지 않고 생각에 도움이 되는 모든 것을 사용하여 훌륭한 인사이트를 얻을 수 있기를 바랍니다. 그 기회는 단 한 번만 올지도 모릅니다!" Gadgo에 가장 추천하고 싶은 감사 유형은 무엇인가요? 공급업체 감사 내부 감사 제3자 감사 자체 인증 25번 다음 중 개인정보 보호 프로그램 메트릭의 한 유형이 아닌 것은 무엇인가요? 비즈니스 지원 지표. 데이터 향상 지표. 가치 창출 지표. 상업적 지표. 개인정보 보호 프로그램 지표의 유형에는 비즈니스 지원 지표, 데이터 향상 지표, 상업적 지표가 있습니다. 비즈니스 지원 메트릭은 개인정보 보호를 침해하지 않고 비즈니스를 운영할 수 있도록 지원하는 개인정보 보호 프로그램의 효과를 측정합니다. 데이터 강화 지표는 데이터 최소화, 액세스 제어, 데이터 보안 등을 통해 데이터 보호를 강화하는 개인정보 보호 프로그램의 효과를 측정합니다. 상업적 지표는 새로운 제품, 서비스 및 고객 경험 개발 등 가치 창출에 있어 개인정보 보호 프로그램의 효과를 측정하며, 개인정보 보호 프로그램 지표는 개인정보 보호 프로그램의 효과를 평가하고 진행 상황을 측정하는 데 사용됩니다. 이러한 지표에는 비즈니스 지원 지표, 데이터 향상 지표, 상업적 지표가 포함될 수 있습니다. 그러나 가치 창출 지표는 일반적으로 개인정보 보호 프로그램 지표로 사용되지 않습니다.26 다음 중 데이터 보존 정책을 개발할 때 고려해야 할 중요한 요소가 아닌 것은 무엇입니까? 기술 리소스. 비즈니스 요구 사항. 조직 문화. 규정 준수 요구 사항 설명 조직 문화는 데이터 보존 정책을 개발할 때 고려해야 할 중요한 요소가 아닙니다. 데이터 보존 정책은 조직이 다양한 목적으로 개인정보를 보관하는 기간과 더 이상 필요하지 않은 경우 개인정보를 안전하게 폐기하는 방법을 정의하는 문서입니다. 데이터 보존 정책은 운영상의 필요, 고객의 기대, 계약상 의무 또는 업계 표준과 같은 비즈니스 요구 사항, 법적 의무, 규제 의무 또는 감사 권고와 같은 규정 준수 요구 사항, 저장 용량, 백업 시스템, 암호화 방법 또는 폐기 도구와 같은 기술 리소스 등의 요소를 기반으로 수립되어야 합니다. 조직이 운영되고 이해관계자와 상호 작용하는 방식을 형성하는 가치, 신념, 규범 및 행동을 의미하는 조직 문화는 데이터 보존 기간이나 폐기 방법을 결정하는 데 관련 요소가 아닙니다.참조: * CIPM 지식 체계(2021), 도메인 IV: 개인정보 보호 프로그램 운영 수명 주기, 섹션 B: 개인정보 보호, 하위 섹션 4: 데이터 보존* CIPM 학습 가이드(2021), 8장: 개인정보 보호, 섹션 8.4: 데이터 보존* CIPM 교과서(2019), 8장: 개인정보 보호, 섹션 8.4: 데이터 보존* CIPM 실무 시험(2021), 문제 141NO.27 마케팅 팀에서 SMS 옵트인 확인란이 필요한 이유를 알고 싶어합니다. 이것이 소비자의 권리의 일부라고 설명하시겠습니까? 수정을 요청합니다. 불만을 제기합니다. 액세스 권한 보유. 정보를 제공받습니다. 설명 마케팅팀은 소비자의 알 권리의 일부이므로 SMS 수신 동의에 대한 확인란을 선택해야 합니다. 이 권리는 소비자가 조직에서 자신의 개인 데이터를 수집, 사용, 공유 및 보호하는 방법을 알 권리가 있다는 것을 의미합니다. 이 확인란을 선택하면 소비자가 동의하고 조직으로부터 SMS 메시지를 수신하도록 선택할 수 있으며, 이러한 메시지의 목적과 범위도 알 수 있습니다. 다른 권리는 수정, 불만 및 액세스 등 데이터 처리의 다른 측면과 관련이 있으므로 이 경우에는 해당되지 않습니다. 참고 자료 CIPM 지식 체계, 도메인 IV: 개인정보 보호 프로그램 커뮤니케이션, 섹션 A: 이해관계자와의 커뮤니케이션, 하위 섹션 1: 소비자 권리.NO.28 다음의 모든 변경 사항은 데이터 인벤토리 업데이트를 유발할 가능성이 높습니다(단, 다음을 제외하고는?). 고객 관계 관리(CRM) 기능의 아웃소싱. 새로운 자회사를 인수한 경우. 새 공급업체의 온보딩. 새로운 개인정보 보호 규정 통과. 29번 시나리오 다음 질문에 답하기 위해 다음을 사용하세요.벤은 고객을 위한 조명 솔루션을 설계하는 회사 IgNight의 IT 부서에서 일하고 있습니다. IgNight의 고객층은 주로 미국 내 사무실로 구성되어 있지만, 조명 기구의 독특한 미적 감각과 에너지 절약형 디자인에 감명을 받아 전 세계 각지의 가정에 설치를 요청하는 개인들도 있습니다.어느 일요일 아침, 업무용 노트북으로 다가오는 음악 축제 티켓을 구매하던 벤은 우연히 회사 파일에서 비정상적인 사용자 활동을 발견합니다. 대충 살펴본 결과 모든 데이터는 여전히 원래 위치에 있는 것처럼 보였지만 뭔가 이상하다는 느낌을 떨쳐버릴 수 없었습니다. 그는 예정에 없던 유지보수를 수행하는 동료일 가능성이 있다는 것을 알고 있지만, 회사 보안팀에서 직원들에게 업계를 노리는 악의적인 공격자 그룹의 공격을 경계하라는 이메일을 보낸 것을 떠올립니다.벤은 성실한 직원이고 회사를 보호하고 싶지만 주말에 열심히 일하는 동료들을 귀찮게 하고 싶지 않습니다. 그는 아침 일찍 이 관리자와 이 문제를 논의할 예정이지만, 이 분야에 대한 자신의 지식을 입증하고 승진을 위해 자신의 주장을 호소할 수 있도록 준비하고 싶어합니다.앞으로 IgNight가 이러한 종류의 보안 이벤트를 관리하기 위해 IT 팀을 준비하는 가장 좋은 방법은 무엇일까요? 탁상 연습. 데이터 인벤토리 업데이트. IT 보안 인식 교육. 예정된 유지 관리와 관련된 커뮤니케이션을 공유합니다. 30번 시나리오다음 질문에 답하세요.내셔널와이드 그릴 레스토랑 체인의 CFO인 나탈리아는 동료 임원들이 그렇게 불안해하는 모습을 본 적이 없습니다. 지난주 회사가 사용하는 데이터 처리 회사가 시스템이 해킹당해 이름, 주소, 생일과 같은 고객 데이터가 유출되었을 가능성이 있다고 보고했습니다. 이 시도는 성공하지 못한 것으로 판명되었지만, 이 사건으로 인해 여러 내셔널와이드 그릴 경영진이 오늘 회의에서 회사의 개인정보 보호 프로그램에 의문을 제기했으며, 부사장인 앨리스는 이 사건이 소송의 문을 열어 내셔널와이드 그릴의 시장 지위를 손상시킬 수 있었다고 말했습니다. 최고 정보 책임자(CIO)인 브렌던은 실제 유출이 있었다고 해도 회사를 상대로 소송이 제기될 가능성은 희박하다고 그녀를 안심시키려고 했습니다. 하지만 앨리스는 여전히 확신을 갖지 못했습니다. 전직 CEO이자 현재 수석 고문인 스펜서는 자신이 데이터 처리를 위해 외부 업체를 이용하는 것에 대해 항상 경고해 왔다고 말했습니다. 그는 최소한 보안 사고에 대해 고객에게 알리는 것에 대해 계약상 책임을 져야 한다고 주장했습니다. 그는 내셔널와이드 그릴이 자초하지 않은 문제로 회사 이름에 먹칠을 해서는 안 된다고 생각했습니다. 비즈니스 개발(BD) 임원 중 한 명인 헤일리는 "조직의 최선의 노력에도 불구하고 침해는 발생할 수 있다"며 모두가 이성을 되찾기를 간곡히 호소했습니다. "합리적인 대비가 핵심입니다." 그녀는 7년 전 대형 식료품 체인인 팅커톤스가 네이션와이드 그릴의 냉동 디너를 대량 주문한 후 금융 정보가 유출된 사건을 모두에게 상기시켰습니다. 오랜 기간 동안 관계를 구축하며 쌓아온 Tinkerton's의 기업 문화를 잘 이해하고 있는 BD 임원으로서 헤일리는 회사의 사고 대응을 성공적으로 관리할 수 있었는데, Spencer는 이성을 가지고 행동한다는 것은 BD 직원이 아닌 회사 내 보안 부서에서 보안을 처리할 수 있도록 하는 것이라고 답했습니다. 이와 비슷한 방식으로 인사부(HR)는 사고를 예방하기 위해 직원 교육을 더 잘해야 한다고 그는 말했습니다. 그는 내셔널 그릴의 직원들이 회사의 개인정보 보호 프로그램과 관련된 포스터, 이메일, 윤리 부서에서 보낸 메모로 인해 업무가 과중하다고 지적했습니다. 정보의 양이 많고 중복되는 경우가 많아 아예 무시되는 경우가 많다는 것. 스펜서는 "회사는 개인정보 보호 프로그램에 전념하고 한 달에 한 번씩 모든 직원을 대상으로 정기적인 대면 교육을 실시해야 한다"고 말했습니다. 앨리스는 이 제안이 좋은 뜻은 있지만 현실적이지 않다고 답했습니다. 여러 지역에 지사가 있는 경우 현지 인사 부서는 교육 일정에 유연성을 가져야 합니다. 나탈리아는 조용히 동의했습니다. 스펜서의 교육 제안에 대한 반대의견을 어떻게 해결할 수 있을까요? 필요할 때만 교육을 받도록 하면 됩니다. 교육에 대한 대체 제공 방법을 제공함으로써. 정기적인 재교육 시스템을 도입함으로써. 직원의 근속 기간에 따라 맞춤형 교육을 제공합니다. 31번 시나리오다음 질문에 답하기 위해 다음을 활용하세요.15년 동안 미국의 통신 판매 회사인 트레져 박스에서 근무한 앨버트는 전 세계에 장식용 양초를 판매했지만 최근 48개 인접 주에 거주하는 고객으로 배송을 제한하기로 결정했습니다. 수년간의 경력에도 불구하고 Albert는 관리직에서 종종 간과되고 있습니다. 승진하지 못한 것에 대한 좌절감과 최근 개인정보 보호 문제에 대한 관심이 긍정적인 변화의 주체가 되고자 하는 동기를 부여했습니다. 곧 새로 공고를 낸 직책에 면접을 볼 예정이며, 면접에서 회사의 개인정보 보호 프로그램의 허점을 임원진에게 알릴 계획입니다. 그는 회사의 오래된 정책과 절차로 인한 부정적인 결과를 방지한 공로로 승진이라는 보상을 받을 것이라고 확신합니다.예를 들어, Albert는 AICPA(미국 공인회계사협회)/CICA(캐나다 공인회계사협회)의 개인정보 성숙도 모델(PMM)에 대해 알게 되었습니다. 알버트는 이 모델이 트레저박스의 개인정보 보호 역량을 측정하는 데 유용한 방법이라고 생각합니다. 알버트는 트레저박스가 이 모델의 최고 성숙도 요건을 충족하지 못한다는 사실을 알게 되었고, 인터뷰에서 고객에게 가장 엄격한 보안을 제공하기 위해 회사가 이 수준을 충족할 수 있도록 지원하겠다고 약속할 예정입니다. 그는 외부 위협으로부터 고객과 직원의 개인 데이터를 보호하기 위한 회사의 노력을 칭찬하려고 합니다. 하지만 알버트는 특히 다이렉트 전화 마케팅 분야에서 회사 내 높은 이직률을 걱정하고 있습니다. 그는 매일 마케팅 업무를 위해 고용된 낯선 얼굴들을 많이 만나고, 점심시간에 장시간 근무와 낮은 급여, 회사 절차를 노골적으로 무시하는 것 같은 불만을 자주 듣습니다.게다가 트레저박스는 최근 두 건의 보안 사고를 겪었습니다. 회사는 내부 감사와 보안 보호 장치 업데이트를 통해 사건에 대응했습니다. 하지만 수익은 여전히 영향을 받고 있는 것으로 보이며, 많은 사람들이 여전히 불신을 품고 있다는 일화도 있습니다. 알버트는 회사의 회복을 돕고 싶어 합니다. 알버트는 자세한 내용은 모르지만 대중이 알지 못하는 사건이 적어도 한 건은 있다는 것을 알고 있습니다. 그는 이 사건을 비밀로 유지하려는 회사의 고집이 회사의 평판을 더욱 떨어뜨릴 수 있다고 생각합니다. 앨버트가 트레저박스의 위상을 되찾는 데 도움이 되고자 하는 또 다른 방법은 고객용 무료 전화번호와 우편을 통한 고객 문의에 보다 효율적으로 대응할 수 있는 절차를 만드는 것입니다. 앨버트는 개선 제안 외에도 회사의 최근 사업 운영에 대한 지식도 면접관들에게 깊은 인상을 줄 것이라고 믿습니다. 예를 들어, 알버트는 회사가 몇 주 안에 의료 용품 회사를 인수할 계획이라는 사실을 알고 있습니다.알버트는 자신의 미래 지향적인 사고로 면접을 보게 될 관리자들에게 자신이 이 직책에 적합하다는 것을 설득하고자 합니다.다음 중 알버트에게 추가 지식이 가장 필요할 것 같은 주제는 무엇입니까? 소매 기업에서 개인정보 보호의 역할 필요한 개인정보 보호 프로그램의 성숙도 수준 개인정보 보호와 관련된 책임 위임 가능성 개인 정보 보호 의무가 있는 관리 직책의 요건 32번 시나리오다음 질문에 답하기 위해 다음을 활용하세요.페니는 최근 가정용품 액세서리를 온라인으로 판매하는 에이스 스페이스에 새로운 개인정보 보호 책임자로 입사했습니다. 이 회사는 캘리포니아에 본사를 두고 있지만 작년에 한 소셜 미디어 인플루언서의 홍보 덕분에 유럽에서 매출이 급증하여 아일랜드에 지역 지사를 설립하여 사업 확장을 지원하고 있습니다. Ace Space의 관행에 익숙해지고 개인정보 보호 우선순위가 무엇인지 평가하기 위해 Penny는 여러 동료들과 미팅을 예약하여 그들이 해온 업무와 규정 준수 노력에 대해 들었습니다. 마케팅 부서의 동료는 새로운 매출과 회사의 계획에 기대가 크지만 Penny가 계획했던 일부 성장 기회가 축소될 수 있다는 우려도 함께 가지고 있습니다. 그는 페니에게 "휴게실에서 누군가 새로운 개인정보 보호법에 대해 이야기하는 것을 들었지만 우리에게 영향을 미칠 것 같지는 않아요. 저희는 작은 회사에 불과합니다. 온라인에서 액세서리를 판매할 뿐인데 무슨 큰 위험이 있을까요?" 또한 그는 서둘러 프로젝트를 완료하는 데 도움을 주는 여러 소규모 회사와 협력하고 있다고 말했습니다. "마감일을 맞추지 못하면 손해를 보게 되죠. 저는 계약서에 서명하고 재무팀에 있는 Jim에게 대금 지급을 요청하기만 하면 됩니다. 계약서를 검토하는 데는 시간이 많이 걸리니까요." IT 팀원과의 미팅에서 Penny는 에이스 스페이스가 악성 활동으로부터 웹사이트를 보호하기 위해 여러 가지 예방 조치를 취했지만, 실제 파일이나 내부 인프라에 대해서는 동일한 수준의 관리를 하지 않았다는 사실을 알게 되었습니다. 페니의 IT 부서 동료가 전직 직원이 퇴사하면서 금융 데이터가 담긴 암호화된 USB 키를 분실했다는 이야기를 전해주었습니다. 이 회사는 작년에 피싱 공격의 희생양이 되어 고객 데이터베이스에 대한 액세스 권한을 거의 잃을 뻔했습니다. 페니는 IT 동료로부터 "IT 팀이 무엇을 해야 할지, 누가 무엇을 해야 할지 몰랐다"는 말을 들었다고 합니다. 교육을 받은 적은 없지만 소규모 팀이라서 결국에는 잘 해결되었습니다."라고 말합니다. 페니는 이러한 문제가 에이스 스페이스의 개인정보 보호와 데이터 보호에 영향을 미칠 것을 우려하고 있습니다. 페니는 회사가 해외 매출을 늘리려는 확실한 계획을 가지고 있으며, CEO와 긴밀히 협력하여 조직에 데이터 '쇄신'을 제공할 것입니다. 그녀의 임무는 회사 내에서 강력한 개인정보 보호 문화를 조성하는 것입니다.Penny는 오늘 에이스 스페이스의 CEO와 미팅을 가지며 첫인상과 다음 단계에 대한 개요를 제공하라는 요청을 받았습니다.현재 에이스 스페이스의 개인정보 보호 성숙도의 기준선을 설정하기 위해 Penny는 다음을 제외한 다음 요소를 모두 고려해야 합니다. 에이스 스페이스의 문서화된 절차 에이스 스페이스의 직원 교육 프로그램 Ace Space의 벤더 참여 프로토콜 소셜 미디어에서 에이스 스페이스의 콘텐츠 공유 관행 33번 시나리오다음 질문에 답하기 위해 다음을 사용하십시오.아마도 잭 켈리는 미국에 남았어야 했을 것입니다. 그는 특정 '불량' 사무소를 개혁한 공로로 스페셜 핸들링 배송 회사 내에서 엄청난 명성을 누리고 있습니다. 지난해에는 경찰의 급습 작전으로 미국 로드아일랜드주 프로비던스 사무소에서 마약 조직이 운영되고 있다는 사실이 밝혀졌다는 뉴스가 보도되었습니다. 뉴스에 유출된 사무실의 비디오 감시 카메라 영상에는 특수 처리 부서 직원과 잠복 요원 간의 마약 거래 장면이 담겨 있었는데, 이 사건 이후 켈리는 범죄 조직이 불법 거래를 할 수 있도록 방치한 것으로 여겨지는 '손을 떼는' 문화를 바꾸기 위해 프로비던스로 파견되었습니다. Kelly의 지시를 받은 지 몇 주가 지나자 사무실은 효율성과 고객 서비스의 모범이 되었습니다. 켈리는 이전 동료들의 불법 행위를 녹화했던 동일한 카메라를 사용하여 직원들의 활동을 감시했고, 이제 켈리는 또 다른 문제 지역인 아일랜드 코크의 사무실을 돌린 혐의를 받고 있습니다. 회사는 직원들이 사무실을 무단으로 이탈한다는 신고를 수차례 접수했습니다. 켈리가 도착했을 때, 그는 직원들이 사무실에 있을 때에도 종종 휴대폰으로 사교 활동을 하거나 개인적인 업무를 처리하는 것을 발견했습니다. 그는 다시 감시 카메라를 통해 직원들의 행동을 관찰했습니다. 켈리는 첫날에만 6명의 직원에게 서면 질책을 내렸고, 놀랍게도 켈리와 회사는 직원들의 개인정보 보호권을 침해한 혐의로 아일랜드 데이터 보호청의 조사를 받고 있습니다. Kelly는 카메라에 대한 회사의 라이선스에 시설 보안이 주요 용도로 명시되어 있다고 들었지만 이것이 왜 중요한지 알지 못합니다. 그는 상사에게 개인정보 보호 및 데이터 수집에 관한 회사의 교육 프로그램에 감시 영상에 대한 언급이 없다고 지적했습니다.귀하는 이 사건을 평가하고, 법률 및 규정 준수 문제를 보고하고, 다음 단계를 권고하기 위해 회사에서 고용한 개인정보 보호 컨설턴트입니다.규제 기관이 현재 조사 중인 것을 알고 있는데, 취해야 할 최선의 조치는 무엇일까요? 개인정보 보호법 및 소송 경험이 풍부한 변호사와 상담하세요. 자신의 배경과 지식을 활용하여 대응 방침을 정하세요. 조직이 유죄라는 것을 알고 있다면 처벌을 받아들이도록 조언하세요. 공식적인 법적 조치가 취해지기 전에 합의 조건을 협상하세요. 34번 시나리오다음 질문에 답하기 위해 다음을 활용하세요.Edufox는 유명한 이러닝 소프트웨어 플랫폼 사용자들의 연례 컨벤션을 주최해 왔으며, 시간이 지남에 따라 이 행사는 대규모 행사로 자리 잡았습니다. 이 행사는 시내의 대형 컨퍼런스 호텔 중 한 곳을 가득 채우고 다른 호텔로 넘쳐나며 수천 명의 참석자가 3일 동안 프레젠테이션, 패널 토론, 네트워킹을 즐깁니다. 이 컨벤션은 회사의 제품 출시 일정의 중심이자 기존 사용자를 위한 훌륭한 교육 기회입니다. 또한 영업팀은 잠재 고객이 참석하여 다양한 요구 사항을 충족하도록 시스템을 맞춤화할 수 있는 방법을 더 잘 이해하고 이 시스템을 구매하면 가족처럼 느껴지는 커뮤니티에 합류한다는 점을 이해하도록 권장합니다.올해 컨퍼런스는 불과 3주 앞으로 다가왔으며 이를 지원하는 새로운 계획인 참석자를 위한 스마트폰 앱에 대한 소식을 들으셨을 것입니다. 이 앱은 늦은 등록을 지원하고, 주요 프레젠테이션을 하이라이트하며, 컨퍼런스 프로그램의 모바일 버전을 제공합니다. 또한 해당 지역에서 최고의 요리를 제공하는 레스토랑 예약 시스템과도 연결됩니다. "정말 멋질 거예요." 개발자인 데이드레 호프먼은 "실제로 작동하기만 한다면요!"라고 말합니다. 그녀는 긴장한 듯 웃으면서도 앱 개발 기간이 촉박해서 현지 회사에 아웃소싱을 맡겼다고 설명합니다. "겨우 세 명의 젊은이들이지만 정말 대단한 일을 해내고 있습니다."라고 그녀는 말합니다. 그녀는 그들이 만든 다른 앱에 대해 설명합니다. 어떻게 이 일을 맡게 되었느냐는 질문에 데이드레는 어깨를 으쓱합니다. "좋은 일을 하니까 제가 선택했습니다." Deidre는 뛰어난 실적을 자랑하는 훌륭한 직원입니다. 그래서 이 급한 프로젝트를 맡게 된 것입니다. 그녀는 회사의 이익을 최우선으로 생각하고 있으며, 더 이상 미룰 수 없는 마감 기한에 맞춰야 한다는 압박을 받고 있다는 것은 의심할 여지가 없습니다. 하지만 앱의 개인 데이터 처리와 보안 안전장치에 대한 우려가 생깁니다. 휴게실에서 점심을 먹으며 이 문제에 대해 이야기하기 시작하지만, 그녀는 재빨리 "필요하다면 보안 문제를 해결할 수 있겠지만, 그럴 일은 없을 것 같다"며 안심시키려 합니다. 이 사람들은 생계를 위해 앱을 만드는 사람들이고, 자신이 무엇을 하는지 잘 알고 있습니다. 걱정이 너무 많지만 그래서 일을 잘하는 거예요!" 이 문제에서 정상적인 프로토콜을 따르지 않았다는 점을 지적하고 싶은데, 특히 어떤 프로세스가 무시되었나요? 포렌식 조사. 데이터 매핑. 개인 정보 침해 방지. 공급업체 실사 조사. NO.35 귀사는 B2B 서비스를 위한 SaaS 도구를 제공하며 개별 소비자와는 상호 작용하지 않습니다. 고객의 현재 직원이 삭제 권한을 요청하는 연락을 받았는데 가장 적절한 대응은 무엇인가요? 고객에 등록된 연락처로 요청을 전달하여 어떻게 진행하길 원하는지 물어봅니다. 개인이 자신의 권리를 이해하고 이것이 회사 도구에 대한 액세스에 어떤 영향을 미칠 수 있는지 이해하기 위해 고용주에게 다시 안내합니다. 개인이 자신의 정보가 삭제될 경우 조직에 미치는 영향을 이해하고 있다는 가정 하에 요청을 처리합니다. 비즈니스 연락처 정보 및 관련 데이터는 개인정보 보호법이 적용되지 않으므로 요청을 처리할 수 없음을 설명합니다. 설명귀사가 B2B 서비스를 위한 SaaS 도구를 제공하고 개인 소비자와는 상호 작용하지 않는데 고객의 현재 직원이 삭제 요청을 하는 경우, 가장 적절한 대응은 해당 개인을 고용주에게 다시 안내하여 자신의 권리와 회사 도구 액세스에 미치는 영향에 대해 이해시키는 것입니다. 이는 조직이 직원의 개인 데이터 컨트롤러인 고객을 위한 처리자 역할을 하고 있기 때문입니다. 컨트롤러는 개인 데이터 처리의 목적과 수단을 결정하고 데이터 주체의 요청에 응답할 책임이 있습니다. 처리자는 컨트롤러를 대신하여 컨트롤러의 지시에 따라서만 개인 데이터를 처리해야 합니다. 따라서 고객에게 요청을 전달하거나, 고객과 상의 없이 요청을 처리하거나, 비즈니스 연락처 정보가 개인정보 보호법1, 2에서 면제된다는 이유로 요청을 거부해서는 안 됩니다. 참고 자료 CIPM - 국제 개인정보 보호 전문가 협회, 무료 CIPM 학습 가이드 - 국제 개인정보 보호 전문가 협회 NO.36 시나리오다음 질문에 답하기 위해 다음을 활용하세요.회사의 새로운 최고 경영자인 토마스 고다드는 데이터 보호 분야의 리더로 알려지기를 원합니다. 고다드는 최근 전 세계 수백만 명의 사용자를 보유한 온라인 동영상 시청 분야의 선구자인 Hoopy.com의 최고 재무 책임자로 근무했습니다. 안타깝게도 후피는 개인 데이터를 마케터에게 무단으로 판매하는 등 윤리적으로 의심스러운 관행으로 개인정보 보호 업계에서 악명이 높습니다. 또한 후피는 "적절한" 데이터 보호 장치를 갖추고 있다는 회사의 주장에도 불구하고 최소 200만 개의 신용카드 번호가 도용된 것으로 추정되는 신용카드 데이터 도난 사건의 표적이 되어 전 세계 언론의 헤드라인을 장식한 바 있습니다. 이 스캔들은 경쟁업체들이 유사한 엔터테인먼트 및 미디어 콘텐츠를 제공하면서 보호 수준을 높인 제품을 빠르게 출시하면서 회사의 비즈니스에 영향을 미쳤습니다. 스캔들이 터진 지 3주 만에 고다드의 멘토였던 후피의 창립자이자 CEO 맥스웰 마틴은 물러나야 했고, 고다드는 이제 막 창업 단계에 접어든 미디어라이트의 CEO 자리를 확보하며 재기에 성공한 것으로 보입니다. 그는 업계 최고의 데이터 보호 표준과 절차를 기반으로 브랜드를 구축하겠다는 Medialite의 비전을 회사 이사회와 투자자들에게 설득했고, 과거에는 개인정보 보호와 관련해 낙후되거나 심지어 불량한 조직의 핵심이었지만 지금은 개혁적이고 개인정보 보호의 진정한 신봉자라고 주장하고 있습니다. 취임 첫 주에 그는 여러분을 사무실로 불러 개인정보 보호에 대한 자신의 비전을 실현하는 것이 여러분의 주요 업무 책임이라고 설명합니다. 하지만 몇 가지 의구심도 감지됩니다. "우리는 Medialite가 절대적으로 최고의 기준을 갖기를 원합니다."라고 그는 말합니다. "사실 저는 우리가 개인 정보 보호 및 데이터 보호 분야에서 확실한 업계 리더라고 말할 수 있기를 바랍니다. 하지만 저는 또한 회사의 재정을 책임감 있게 관리해야 합니다. 따라서 전반적으로 최고의 솔루션을 원하면서도 비용 효율적이어야 합니다." 일주일 후에 추천 사항을 정리하여 다시 보고하라는 지시를 받았습니다. 이 모호한 임무를 맡은 당신은 이미 다음 단계를 고려하며 임원실을 나섰고, CEO에게 개인정보 보호 프로그램 성숙도에 대한 프레젠테이션을 진행합니다. AICPA/CICA 개인정보 보호 성숙도 모델에 따르면 '관리되는' 개인정보 보호 프로그램이란 무엇을 의미할까요? 절차 또는 프로세스가 존재하지만 완전히 문서화되어 있지 않고 모든 관련 측면을 다루지 않는 경우. 절차 및 프로세스가 완전히 문서화되고 구현되어 있으며 모든 관련 측면을 포괄합니다. 시행 중인 통제의 효과를 평가하기 위해 검토가 수행됩니다. 정기적인 검토와 피드백을 통해 주어진 프로세스의 최적화를 위한 지속적인 개선을 보장합니다. 37번 시나리오다음 질문에 답하기 위해 다음을 활용하십시오.귀하는 유럽과 미주 전역의 여러 국가에 거주하는 개인의 정보를 취급하는 회사의 개인정보 보호 부서를 이끌고 있습니다. 그날 아침 계약 담당자가 전화 통화를 요청하는 메시지를 보내면서 개인정보 보호 검토를 시작합니다. 메시지의 명확성과 세부 사항이 부족하지만 데이터가 분실된 것으로 추정하고 계약 담당자에게 연락하자 그는 공급업체가 고객에 대한 정보를 부적절하게 공유했다는 내용의 편지를 우편으로 받았다고 말합니다. 그는 공급업체에 전화를 걸어 귀사가 최근 정확히 2000명의 개인을 대상으로 가장 최근의 의료 서비스 경험에 대한 설문조사를 실시하여 이를 데이터베이스에 기록하기 위해 공급업체에 보냈지만 공급업체가 계약에서 약속한 대로 데이터베이스를 암호화하는 것을 잊었다는 사실을 확인했습니다. 그 결과 벤더는 데이터에 대한 통제권을 잃었고, 벤더는 매우 죄송하다며 알림 발송에 대한 책임을 지겠다고 합니다. 그들은 우편으로 통지서를 받는 데 걸리는 시간을 줄이기 위해 우표가 붙은 엽서 2000장을 따로 준비했다고 말합니다. 한 면은 로고로 제한되어 있지만 다른 한 면은 공백으로 되어 있으며 원하는 내용을 무엇이든 적을 수 있다고 합니다. 당신은 그들의 제안을 보류하고 공간 제약에 맞춰 텍스트를 개발하기 시작합니다. 공급업체의 로고가 알림과 연결되도록 하는 것으로 만족하며, 알림에는 회사가 최근 성 세바스찬 병원의 감염병 클리닉에서 가장 최근에 경험한 정보를 저장하기 위해 공급업체를 고용했다고 설명합니다. 이 공급업체는 정보를 암호화하지 않았으며 더 이상 정보를 제어할 수 없습니다. 영향을 받은 2,000명의 모든 개인은 자신의 정보에 대한 이메일 알림을 신청하도록 초대받습니다. 이들은 회사 웹사이트로 이동하여 간단한 광고를 시청한 다음 이름, 이메일 주소, 생년월일을 입력하기만 하면 됩니다.오전 9시 이전에 사고 대응 위원회에 이메일을 보내 동의를 구하고, 이 상황에서 문제가 발생하면 동료들에게 책임을 분산시키려고 합니다. 그 후 8시간 동안 모두가 이메일을 통해 의견을 주고받습니다. 사고 대응팀을 이끌고 있는 컨설턴트는 회사에서는 처음이지만 45년 동안 다른 업계에 종사해 왔기 때문에 최선을 다할 것이라고 말합니다. 협의회에 참석한 세 명의 변호사 중 한 명으로 인해 대화가 잠시 궤도를 벗어났지만 결국 다시 제자리로 돌아옵니다. 결국 그들은 당신이 쓴 통지서를 계속 진행하기로 투표하고 벤더의 엽서를 사용합니다.벤더가 엽서를 우편으로 발송한 직후, 당신은 데이터가 도난당한 서버에 있다는 사실을 알게 되고 회사에 신용 모니터링 서비스를 제공하기로 결정합니다. 인터넷 검색을 통해 신용 모니터링 회사라는 그럴듯한 이름을 가진 CRUDLOK(Credit Under Lock and Key)을 찾습니다. 영업 담당자는 2,000명에 대한 계약을 처리한 적이 없지만 하루 만에 CRUDLOK이 1.계약 체결 다음 날 모든 사람에게 등록 초대장을 보내고 2.이름과 국가 식별 번호의 마지막 4자리만 알면 등록할 수 있다는 제안서를 개발합니다.3.등록일로부터 2년 동안 각 등록자의 신용을 모니터링합니다.4.매월 신용 등급과 신용 관련 서비스를 시중 금리로 제공하는 이메일을 보냅니다.5.신용 회복 비용의 201~300%를 회사에 청구합니다.계약을 체결하고 등록 초대장을 2000명에게 이메일로 보냅니다. 3일 후, 잘된 점과 개선할 수 있는 점을 모두 문서화합니다. 다음에 사고가 발생했을 때 참조할 수 있도록 파일에 저장합니다.신용 모니터링과 관련하여 다음 중 가장 우려되는 것은 무엇인가요? 공급업체 담당자의 경험이 충분하지 않습니다. 크러드락과 1년 이상 지속되는 계약 체결 회사가 신용 모니터링을 위한 충분한 식별 정보를 수집하지 않았습니다. 영향을 받는 개인에게 서신과 이메일을 통해 통지할 예정임 38번 다음 중 귀사에 적합한 개인정보 보호 프레임워크를 개발했음을 나타내는 것은 어느 것입니까? 각 주요 시스템에 대한 개인정보 보호 평