新问题 55
情景
请用下面的文字回答下一个问题：
Light Blue Health（LBH）是一家医疗保健技术公司，正在开发一款新的网络和移动应用程序，从病人的电子健康记录中收集个人健康信息。该应用将根据从匿名电子健康记录中收集的信息，利用机器学习推荐潜在的医疗和药物。患者用户还可以与 LBH 应用程序共享从其他移动应用程序收集的健康数据。
该应用程序在将电子健康记录导入应用程序并与其授权的医生或医疗保健提供商共享之前，需要征得患者的同意。然后，患者可以通过应用程序安全地查看并与医生共享建议的治疗方案。患者用户还可在应用程序中共享位置数据和上传照片。患者用户还可在应用程序中共享位置数据和上传照片，供医疗服务提供者与健康记录一起查看。患者还可以委托他人访问该应用程序。
LBH 的隐私团队定期与应用程序开发和安全团队以及主要业务利益相关者会面。LBH 还在应用程序开发流程中实施了隐私设计 (PbD)。
隐私小组正在进行隐私影响评估 (PIA)，以评估应用程序开发过程中的隐私风险。该小组必须评估应用程序是否从电子健康记录中收集描述性、人口统计或任何其他与用户相关的数据，而这些数据并非应用程序所需的。该小组还将审查该应用程序是否会出于用户未同意的目的收集额外的个人数据。
怎样才能确保应用程序只收集实现其提供潜在医疗和保健建议这一主要目的所需的个人数据？

新问题 56
非对称加密的显著特征是什么？

新问题 57
哪项不是使用生物识别系统的缺点？

新问题 58
通过公司的应用服务器路由视频流量，而不是直接从一个用户向另一个用户发送视频流量，可以降低哪些风险？

新问题 59
情景
它应该是全欧洲，甚至是全世界最安全的数据存放地。全球金融数据中心（GFDC）存储着大型银行、保险公司、跨国公司和政府机构的金融信息和其他类型的客户数据。在一条只通往该设施的山路上爬行了很久之后，您来到了保安亭。警卫会对您的证件进行反复检查，以确认您就是护照和身份证上的本人。
您被领进一条长长的走廊，走廊两边各有一个服务器机房，机房的门上都装有密码锁。您爬上一段楼梯，被带进一间办公室，办公室的天窗照得通亮，GFDC 安全总监莫妮克-巴奇博士正在这里迎接您。在远处的墙壁上，你可以看到一组显示设施内不同房间的视频屏幕。在远处，几个屏幕显示着上山道路的不同路段，巴奇博士再次解释了你的任务。作为一名数据安全审计师和顾问，这是一项梦寐以求的任务：GFDC 所需要的不是简单的适当控制，而是当前技术所允许的最佳和最有效的安全。
"巴奇博士说："我们去年两次遭到黑客攻击，虽然只有少量记录被盗，但负面新闻影响了我们的业务。我们的客户指望我们提供无懈可击的安全服务，而且是悄无声息地提供。我们希望永远不再成为新闻。她指出，设施符合所有相关的安全法规和标准也是至关重要的。
您被要求验证合规性，并评估所有当前的安全控制和安全措施，包括数据加密方法、身份验证控制以及将数据传输到设施内和设施外的最安全方法。当您准备开始分析时，您发现自己正在考虑一个有趣的问题：这些人能确定我就是我自己吗？
您被带往提供给您的办公室，并获得了系统登录信息，包括无线网络名称和无线密钥。您仍在思考，试图调出设施的无线网络，但无线网络列表中没有出现任何网络。然而，当您按名称搜索无线网络时，却很容易就找到了。
为什么建议 GFC 使用记录加密，而不是磁盘、文件或表加密？

新问题 60
以下哪些实体最有可能免于遵守《通用数据保护条例》（GDPR）？

新问题 61
情景
卡罗尔是一位来自美国的玻璃制造商，她在艺术节上出售自己的作品。她只接受现金和个人支票，一切从简。
随着业务的增长，卡罗尔无法满足需求，而奔波于各种艺术节也成了她的负担。卡萝尔开了一家小精品店，雇了山姆打理，自己则在工作室工作。山姆是个天生的销售员，生意一下子翻了一番。卡罗尔对萨姆说："我不知道你在做什么，但你要继续做下去！"但几个月后，礼品店陷入了混乱。卡萝尔意识到山姆需要帮助，于是她聘请了简，简拥有商业专业知识，可以处理后台工作。萨姆则继续专注于销售。卡罗尔给了简几周时间熟悉手工艺品业务，然后安排了一次三人会议，讨论简的第一印象。
在会议上，卡罗尔迫不及待地想听听简的想法，但她对简要说的话毫无准备。"卡罗尔，我知道他没有意识到，但萨姆为提高销售额所做的一些努力使你处于弱势地位。你没有像你应该做的那样保护客户的个人信息。"萨姆说："我在保护我们的信息。我把它和银行存款一起放在保险柜里。这只是一份客户姓名、地址和电话号码的清单，是我在存入支票前从他们的支票上获取的。当你完成一件我认为他们会喜欢的作品时，我会联系他们。我只有这些信息！我所做的唯一一件事就是在我与家人和朋友使用的照片共享网站上发布有关您作品的照片和信息。我提供我的电子邮件地址，如果他们想看更多你的作品，就会把他们的信息发给我。在网上发布信息确实有助于销售，卡罗尔。事实上，我听到的唯一抱怨就是必须到店里才能购买。卡萝尔回答说："简，听起来还不错。你能不能修修补补，帮助我们在网上发布更多的信息？
我可以。"简说。"但事情没那么简单。我需要建立一个新的计划，确保我们遵循数据管理的最佳实践。我很担心我们的客户。他们应该能够管理我们如何使用他们的个人信息。我们还应该制定社交媒体战略。山姆和简在接下来的一年里努力工作。他们做出的决定之一就是与外部供应商签订合同，管理在线销售。年底时，卡罗尔分享了一个令人振奋的消息。"山姆和简，你们做得非常出色，玻璃行业最大的公司之一想收购我们！简，他们想跟你商量一下，事先把我们所有的客户和供应商信息与他们的信息合并。"对于简关于新数据管理计划的想法，哪类原则是最好的指导？

新问题 62
情景
您刚刚受雇于 Ancillary.com，这是一家销售各种配件的公司，包括泳池漂浮物的防水贴纸、太阳镜的装饰带和装饰盒。该公司还销售手机壳、电子烟盒、酒嘴、家用和汽车用悬挂式空气清新剂、书架、厨房用具、电脑屏幕遮阳板和防护罩、护照夹、园艺工具和草坪装饰品，以及各种保健和美容产品的目录。这些产品似乎数不胜数。正如首席执行官喜欢说的那样，毫无疑问，Ancillary 公司提供的低价消费品种类是最齐全的。
Ancillary 的业务同样多种多样。公司最初由一组销售顾问组成，在客户家中的小型聚会上销售家居和美容产品，这一基础业务目前仍在蓬勃发展。不过，公司现在通过针对不同行业和人群的零售网站进行在线销售，如 "My Cool Ride "网站销售汽车相关产品，"Zoomer "网站销售面向年轻人的装备。Ancillary 公司的组织结构包括大量的部门、单位和支线业务，因为公司是按照非中心模式建立的，奖励个人的主动性和灵活性，同时也收购关键资产。各零售点的功能似乎都不尽相同，你会怀疑它们是否符合法规和行业标准。为这些网站提供技术支持也是一项挑战，部分原因是登录和验证协议多种多样。
您被要求领导 Ancillary 三个重要的新项目：
首先是统一公司文化的多方面举措中的个人数据管理和安全部分。在这个项目中，您正在考虑使用一系列第三方服务器为员工提供公司数据和经批准的应用程序。
第二个项目涉及为家庭销售人员提供销售点技术，使他们不再使用纸质支票和人工信用卡印记。
最后，您将负责为一个单一的网店制定隐私保护措施，该网店将包含公司的所有产品线以及附属公司的产品。这个新的综合网站将被称为 "在阳光下"。营销总监希望该网站不仅销售 Ancillary 的产品，还能通过付费广告链接到其他零售商的其他产品。您需要向执行团队介绍这种方法带来的安全问题。
如果您被要求就付费广告的隐私问题提供建议，最重要的方面是什么？

新问题 63
情景
它应该是全欧洲，甚至是全世界最安全的数据存放地。全球金融数据中心（GFDC）存储着大型银行、保险公司、跨国公司和政府机构的金融信息和其他类型的客户数据。在一条只通往该设施的山路上爬行了很久之后，您来到了保安亭。警卫会对您的证件进行反复检查，以确认您就是护照和身份证上的本人。
您被领进一条长长的走廊，走廊两边各有一个服务器机房，机房的门上都装有密码锁。您爬上一段楼梯，被带进一间办公室，办公室的天窗照得通亮，GFDC 安全总监莫妮克-巴奇博士正在这里迎接您。在远处的墙壁上，你可以看到一组显示设施内不同房间的视频屏幕。在远处，几个屏幕显示着上山道路的不同路段，巴奇博士再次解释了你的任务。作为一名数据安全审计师和顾问，这是一项梦寐以求的任务：GFDC 所需要的不是简单的适当控制，而是当前技术所允许的最佳和最有效的安全。
"巴奇博士说："我们去年两次遭到黑客攻击，虽然只有少量记录被盗，但负面新闻影响了我们的业务。我们的客户指望我们提供无懈可击的安全服务，而且是悄无声息地提供。我们希望永远不再成为新闻。她指出，设施符合所有相关的安全法规和标准也是至关重要的。
您被要求验证合规性，并评估所有当前的安全控制和安全措施，包括数据加密方法、身份验证控制以及将数据传输到设施内和设施外的最安全方法。当您准备开始分析时，您发现自己正在考虑一个有趣的问题：这些人能确定我就是我自己吗？
您被带往提供给您的办公室，并获得了系统登录信息，包括无线网络名称和无线密钥。您仍在思考，试图调出设施的无线网络，但无线网络列表中没有出现任何网络。然而，当您按名称搜索无线网络时，却很容易就找到了。
为什么建议 GFC 使用记录加密，而不是磁盘、文件或表加密？

新问题 64
情景
WebTracker 有限公司位于伦敦，是一家基于云的在线营销服务公司。去年，WebTracker 将其 IT 基础设施迁移到云服务提供商 AmaZure，后者为 WebTracker 提供 SQL 数据库和人工智能服务。两家公司之间的角色和责任已在一份标准合同中正式确定，其中包括将数据控制者的角色分配给 WebTracker。
WebTracker公司的首席执行官邦德先生希望评估AmaZure公司隐私控制的有效性，他最近决定聘请您作为独立审计师。这项工作的范围仅限于 WebTracker 提供的营销服务，您不会对任何内部数据处理活动（如人力资源或薪资）进行评估。
这次临时审核的起因是 WebTracker 与 SmartHome 未来的合作关系，这种合作关系不需要共享任何数据。SmartHome 总部设在美国，最近投入大量资源开发智能冰箱，可根据 DNA 信息建议每日建议摄入的卡路里。这些数据和其他个人数据由 WebTracker 收集。
为了了解相关工作的范围，您决定开始审查公司的文档并与关键员工面谈，以了解潜在的隐私风险。
这项初步工作的成果包括以下说明：
* 当前 WebTracker 的隐私声明中有几个错别字，而且您无法找到 SmartHome 的隐私声明。
* 您无法确定为 SmartHome 工作的所有分包商。在与 AmaZure 签订的云协议中没有指明分包商，AmaZure 负责云基础设施的支持和维护。
* 有数据流代表从 WebTracker 内部员工收集的个人数据，包括来自人力资源系统的接口。
* WebTracker 收集的部分 DNA 数据来自员工，因为这是 WebTracker 首席执行官批准的原型。
* 所有 WebTracker 和 SmartHome 客户都在美国和加拿大。
以下哪个问题最有可能要求 WebTracker 的首席隐私官 (CPO) 进行调查？

新问题 65
某网络电子邮件服务的用户因登录凭证泄露而导致账户被盗。该漏洞可能造成的哪些后果说明了卡洛危害维度的两个类别？

新问题 66
情景
它应该是全欧洲，甚至是全世界最安全的数据存放地。全球金融数据中心（GFDC）存储着大型银行、保险公司、跨国公司和政府机构的金融信息和其他类型的客户数据。在一条只通往该设施的山路上爬行了很久之后，您来到了保安亭。警卫会对您的证件进行反复检查，以确认您就是护照和身份证上的本人。
您被领进一条长长的走廊，走廊两边各有一个服务器机房，机房的门上都装有密码锁。您爬上一段楼梯，被带进一间办公室，办公室的天窗照得通亮，GFDC 安全总监莫妮克-巴奇博士正在这里迎接您。在远处的墙壁上，你可以看到一组显示设施内不同房间的视频屏幕。在远处，几个屏幕显示着上山道路的不同路段，巴奇博士再次解释了你的任务。作为一名数据安全审计师和顾问，这是一项梦寐以求的任务：GFDC 所需要的不是简单的适当控制，而是当前技术所允许的最佳和最有效的安全。
"巴奇博士说："我们去年两次遭到黑客攻击，虽然只有少量记录被盗，但负面新闻影响了我们的业务。我们的客户指望我们提供无懈可击的安全服务，而且是悄无声息地提供。我们希望永远不再成为新闻。她指出，设施符合所有相关的安全法规和标准也是至关重要的。
您被要求验证合规性，并评估所有当前的安全控制和安全措施，包括数据加密方法、身份验证控制以及将数据传输到设施内和设施外的最安全方法。当您准备开始分析时，您发现自己正在考虑一个有趣的问题：这些人能确定我就是我自己吗？
您被带往提供给您的办公室，并获得了系统登录信息，包括无线网络名称和无线密钥。您仍在思考，试图调出设施的无线网络，但无线网络列表中没有出现任何网络。然而，当您按名称搜索无线网络时，却很容易就找到了。
GFDC 似乎采用了哪种类型的无线网络？

新问题 67
情景 - 请用下面的文字回答下一个问题：
您刚刚受雇于 Ancillary.com，这是一家销售各种配件的公司，包括泳池漂浮物的防水贴纸、太阳镜的装饰带和太阳镜套。公司还销售手机壳、电子烟盒、酒嘴、家庭和汽车用悬挂式空气清新剂、书架、厨房用具、电脑屏幕遮阳板和防护罩、护照夹、园艺工具和草坪装饰品，以及各种健康和美容产品的目录。这些产品似乎数不胜数。正如首席执行官喜欢说的那样，毫无疑问，Ancillary 公司提供的低价消费品种类是最齐全的。
辅助业务同样多种多样。公司最初由一组销售顾问组成，在客户家中举行的小型聚会上销售家居和美容产品，这一基础业务目前仍在蓬勃发展。
不过，该公司现在通过针对不同行业和人群的零售网站进行在线销售，如 "My Cool Ride11 "网站销售汽车相关产品，"Zoomer "网站销售面向年轻人的装备。
Ancillary 公司的组织结构包括大量的部门、单位和支线业务，因为它是按照一种非中心模式建立起来的，奖励个人的主动性和灵活性，同时也收购关键资产。各零售点的功能似乎都不尽相同，你不禁要问它们是否符合法规和行业标准。为这些网站提供技术支持也是一项挑战，部分原因是登录和验证协议多种多样。
您被要求领导 Ancillary 三个重要的新项目：
首先是统一公司文化的多方面举措中的个人数据管理和安全部分。在这个项目中，您正在考虑使用一系列第三方服务器为员工提供公司数据和经批准的应用程序。
第二个项目涉及为家庭销售人员提供销售点技术，使他们不再使用纸质支票和人工信用卡印记。
最后，您将负责为一个单一的网店制定隐私保护措施，该网店将包含公司的所有产品线以及附属公司的产品。这个新的综合网站将被称为 "在阳光下"。营销总监希望该网站不仅销售 Ancillary 的产品，还能通过付费广告链接到其他零售商的其他产品。您需要向执行团队简要介绍这种方法带来的安全问题。
如果您被要求就付费广告的隐私问题提供建议，最重要的方面是什么？

新问题 68
哪个术语描述两个均来自同一未识别个人的可重新识别数据集？

新问题 69
情景 - 请用下面的文字回答下一个问题：
您刚刚受雇于 Ancillary.com，这是一家销售各种配件的公司，包括泳池漂浮物的防水贴纸、太阳镜的装饰带和太阳镜套。公司还销售手机壳、电子烟盒、酒嘴、家庭和汽车用悬挂式空气清新剂、书架、厨房用具、电脑屏幕遮阳板和防护罩、护照夹、园艺工具和草坪装饰品，以及各种健康和美容产品的目录。这些产品似乎数不胜数。正如首席执行官喜欢说的那样，毫无疑问，Ancillary 公司提供的低价消费品种类是最齐全的。
辅助业务同样多种多样。公司最初由一组销售顾问组成，在客户家中举行的小型聚会上销售家居和美容产品，这一基础业务目前仍在蓬勃发展。
不过，该公司现在通过针对不同行业和人群的零售网站进行在线销售，如 "My Cool Ride11 "网站销售汽车相关产品，"Zoomer "网站销售面向年轻人的装备。
Ancillary 公司的组织结构包括大量的部门、单位和支线业务，因为它是按照一种非中心模式建立起来的，奖励个人的主动性和灵活性，同时也收购关键资产。各零售点的功能似乎都不尽相同，你不禁要问它们是否符合法规和行业标准。为这些网站提供技术支持也是一项挑战，部分原因是登录和验证协议多种多样。
您被要求领导 Ancillary 三个重要的新项目：
首先是统一公司文化的多方面举措中的个人数据管理和安全部分。在这个项目中，您正在考虑使用一系列第三方服务器为员工提供公司数据和经批准的应用程序。
第二个项目涉及为家庭销售人员提供销售点技术，使他们不再使用纸质支票和人工信用卡印记。
最后，您将负责为一个单一的网店制定隐私保护措施，该网店将包含公司的所有产品线以及附属公司的产品。这个新的综合网站将被称为 "在阳光下"。营销总监希望该网站不仅销售 Ancillary 的产品，还能通过付费广告链接到其他零售商的其他产品。您需要向执行团队简要介绍这种方法带来的安全问题。
应使用哪种方式让家庭销售人员使用智能手机接受付款？

新问题 70
什么是访问控制列表？

新问题 71
代码审计何时结束？

新问题 72
以下哪项是敏感生物识别身份验证系统的漏洞？

新问题 73
情景
请用下面的文字回答下一个问题：
Light Blue Health（LBH）是一家医疗保健技术公司，正在开发一款新的网络和移动应用程序，从病人的电子健康记录中收集个人健康信息。该应用将根据从匿名电子健康记录中收集的信息，利用机器学习推荐潜在的医疗和药物。患者用户还可以与 LBH 应用程序共享从其他移动应用程序收集的健康数据。
该应用程序在将电子健康记录导入应用程序并与其授权的医生或医疗保健提供商共享之前，需要征得患者的同意。然后，患者可以通过应用程序安全地查看并与医生共享建议的治疗方案。患者用户还可在应用程序中共享位置数据和上传照片。患者用户还可在应用程序中共享位置数据和上传照片，供医疗服务提供者与健康记录一起查看。患者还可以委托他人访问该应用程序。
LBH 的隐私团队定期与应用程序开发和安全团队以及主要业务利益相关者会面。LBH 还在应用程序开发流程中实施了隐私设计 (PbD)。
隐私小组正在进行隐私影响评估 (PIA)，以评估应用程序开发过程中的隐私风险。该小组必须评估应用程序是否从电子健康记录中收集描述性、人口统计或任何其他与用户相关的数据，而这些数据并非应用程序所需的。该小组还将审查该应用程序是否会出于用户未同意的目的收集额外的个人数据。
隐私团队正在对目前正在开发的新 "淡蓝健康 "应用程序进行隐私影响评估 (PIA)。以下哪项最恰当地描述了可能导致隐私泄露的风险？

新问题 74
如何记录组织内部的信息共享？

新问题 75
以下哪项被视为客户端 IT 风险？

新问题 76
情景
Clean-Q 是一家提供家庭和办公室清洁服务的公司。该公司通过网站和电话接受消费者预订清洁服务的请求。根据服务的类型和规模，Clean-Q 会与在其资源数据库（目前由 Clean-Q IT Support 公司内部管理）上注册的个人签订合同。由于 Clean-Q 公司的业务模式，资源是根据需要签约，而不是长期雇用。
下表列出了 Clean-Q 在业务运营过程中需要的部分个人信息：

Clean-Q 公司内部有大约 30 名员工。最近开展了一项隐私合规工作，以使员工数据管理和人力资源职能与适用的数据保护法规保持一致。因此，Clean-Q 公司的长期员工不包括在此方案中。
随着建筑工程和住房开发项目的增加，Clean-Q 收到了大量的清洁服务请求。这种需求已经超过了 Clean-Q 传统的供求系统，造成了一些重叠的预订。
在最近由高级管理层召开的一次业务战略会议上，Clear-Q 邀请供应商针对其当前的运营问题提出潜在的解决方案。这些供应商包括应用程序开发商和 Cloud-Q 的解决方案提供商，他们介绍了各自提出的解决方案和平台。
总经理选择启动将 Clean-Q 的运营与云解决方案（LeadOps）整合的进程，该解决方案将提供以下单一在线平台：一个网络界面，Clean-Q 可通过该界面进行资源和客户管理。这需要上传资源和客户信息。
* 一个面向客户的网络界面，使客户能够在线注册、管理和提交清洁服务申请。
* 一个面向资源的网络界面，使资源能够申请和管理其分配的工作。
* 为客户提供在线支付服务。
要深入了解 LeadOps 并提供实用的隐私建议，您最有可能问哪个问题？