CIPM 考试学习指南免费练习测试 最后更新日期 2024 年 5 月 18 日 [Q20-Q40]

4/5 - (1 选票)

CIPM 考试学习指南免费练习测试 最后更新日期 2024 年 5 月 18 日

新 CIPM 2024 最新验证学习指南和最佳课程

IAPP CIPM(注册信息隐私管理师)认证考试是一项全球认可的认证,为个人提供在组织内部管理隐私政策和实践的技能和知识。注册信息隐私管理师 (CIPM) 认证旨在帮助专业人士制定和实施符合全球标准和监管要求的隐私计划、政策和程序。

IAPP CIPM 认证是希望在隐私管理领域发展的专业人士的绝佳选择。注册信息隐私管理师 (CIPM) 认证可帮助专业人士全面了解全球隐私法律法规,为在组织内制定和实施有效的隐私计划做好准备。随着数据隐私在当今数字环境中的重要性与日俱增,CIPM 认证对于任何从事隐私管理领域工作的人来说都是一笔宝贵的财富。

 

NO.20 关于技术安全控制的使用,哪个说法是错误的?

 
 
 
 

第 21 号 情景
请用下面的文字回答下一个问题:
佩妮(Penny)最近加入了在线销售家居用品配件的 Ace Space 公司,担任新的隐私官。该公司总部位于加利福尼亚州,但由于去年一位社交媒体影响者的大力宣传,该公司从欧盟获得了大量的销售额,并在爱尔兰设立了地区办事处,以支持这一扩张。为了熟悉 Ace Space 的做法并评估她的隐私保护优先事项,Penny 与一些同事进行了会面,听取他们的工作情况和合规工作。
佩妮的市场部同事对新的销售额和公司计划感到兴奋,但同时也担心佩妮会减少他计划中的一些发展机会。他告诉她:"我在休息室听到有人在谈论一些新的隐私法,但我真的不认为这对我们有什么影响。我们只是一家小公司。我是说,我们只是在网上卖饰品,有什么真正的风险呢?他还告诉她,他与许多小公司合作,这些公司帮助他快速完成项目。"我们必须按期完成,否则就会亏本。我只需签署合同,然后让财务部门的吉姆催促付款。审查合同需要时间,而我们没有时间。在与 IT 团队成员的会面中,佩妮了解到,虽然 Ace Space 采取了一系列预防措施来保护其网站免受恶意活动的侵害,但对其物理文件或内部基础设施却没有采取同等程度的保护措施。佩妮在 IT 部门的同事告诉她,一名前员工在离职时丢失了一个加密的 USB 密钥,里面有财务数据。去年,该公司因遭受网络钓鱼攻击而差点无法访问客户数据库。Penny 的 IT 同事告诉她,IT 团队 "不知道该做什么,也不知道谁该做什么。我们没有接受过这方面的培训,但我们是一个小团队,所以最后还是解决了。佩妮担心这些问题会危及 Ace Space 的隐私和数据保护。
佩妮意识到公司制定了稳健的国际销售增长计划,她将与首席执行官密切合作,对公司进行数据 "大调整"。她的任务是在公司内部培养强大的隐私文化。
佩妮今天要与 Ace Space 的首席执行官会面,并被要求提供她的第一印象和下一步计划的概述。
为了帮助佩妮和她的首席执行官实现目标,怎样才能最有效地解决她在信息技术方面的问题?

 
 
 
 

第 22 号 情景
请用下面的文字回答下一个问题:
理查德-麦克亚当斯(Richard McAdams)最近刚从法学院毕业,决定回到弗吉尼亚州列克星敦小镇,帮助经营年迈祖父的律师事务所。年迈的麦克亚当斯希望在律师事务所中扮演有限的、轻松的角色,并希望在他完全退休后由他的孙子最终接手。除了聘请理查德,麦克亚当斯先生还雇用了两名律师助理、一名行政助理和一名兼职 IT 专家,后者负责处理所有基本的网络需求。他计划在理查德安顿下来并对办公室的发展战略进行评估后,雇佣更多的员工。
理查德到任后,立即对办公室现代化所需的大量工作感到惊讶,这些工作主要涉及客户个人数据的处理。他的首要目标是将档案柜中的所有记录数字化,因为许多文件都包含可识别个人身份的财务和医疗数据。此外,理查德还注意到行政助理每天都要进行大量的复印工作,这种做法不仅使文件柜中的文件数量与日俱增,而且可能会产生安全问题,除非制定一项正式的政策。 理查德还担心,经常来大楼的客户会在众目睽睽之下过度使用公用复印机/打印机。另一个令人担忧的问题是所有员工都使用同一台传真机。理查德希望大幅减少传真机的使用,以确保个人数据得到最安全的保护,并最终在年底前制定严格的互联网传真政策。
理查德向祖父表达了自己的担忧,祖父也认为有必要更新数据存储、数据安全以及全面加强个人数据保护的整体方法,麦克亚当斯先生给予了他这样做的自由和权力。现在,理查德不仅开始了律师生涯,而且还担任了这家小公司的隐私官。理查德计划第二天与 IT 员工会面,深入了解办公室计算机系统目前的设置和管理情况。
为了进一步保护客户的个人数据,以下哪项政策声明需要额外说明?

 
 
 
 

第 23 号 情景
请用下面的文字回答下一个问题:
作为 Consolidated Records 公司的数据保护主管,你有理由对自己迄今为止取得的成绩感到满意。监管机构在一系列相对较小的数据泄露事件后向你发出了警告,而这些事件很可能会变得更糟。然而,在你加入公司的三年时间里,还没有发生过可报告的事件。事实上,您认为您的计划是数据存储行业的典范,其他公司在制定自己的计划时可以借鉴。
您在 Consolidated 开始实施该计划时,政策和程序杂乱无章,您努力使各部门和整个运营部门保持一致。一路走来,您得到了计划发起人--运营副总裁以及隐私团队的帮助,他们对变革的必要性有着清晰的认识。
起初,公司的 "守旧派",无论是高管团队还是处理数据和与客户打交道的一线人员,都对你的工作缺乏信心和热情。通过使用指标,不仅显示了已发生的违规行为的成本,还预测了在当前运营状态下很容易发生的违规行为的成本,你很快就在很大程度上赢得了领导和主要决策者的支持。虽然许多其他员工比较抵触,但通过与各部门进行面对面会谈,并制定基本的隐私培训计划,还是获得了足够的 "认同",从而开始将适当的程序落实到位。
现在,隐私保护已成为当前所有涉及个人数据或受保护数据的业务活动的一个公认组成部分,而且必须成为任何技术开发过程的最终产品的一部分。虽然你们的方法并不系统,但却相当有效。
你会陷入沉思:必须采取哪些措施来维护该计划并使其超越数据泄露预防计划的范畴?如何再接再厉?下一步的行动步骤是什么?
以下哪项最能有效地指导采用系统方法实施数据保护?

 
 
 
 

第 24 号 情景
请用下面的文字回答下一个问题:
拥有多年首席执行官经验的保罗-丹尼尔斯(Paul Daniels)对儿子卡尔顿(Carlton)成功创办的 Gadgo 公司忧心忡忡。
作为通信行业的技术创新者,Gadgo 公司很快就实现了盈利,并已超越了初创阶段。虽然公司仍保持着旺盛的活力,但保罗担心,在卡尔顿的领导下,公司可能不会像以前那样认真对待风险或义务。保罗聘请了你--一位隐私顾问,对公司进行评估,并向父子俩汇报。"卡尔顿不听我的,"保罗说、
"但他可能会关注专家"
加戈的工作场所是一个创新会所,里面有游戏、玩具、零食、意式咖啡机、巨型鱼缸,甚至还有一只对你不感兴趣的鬣蜥。卡尔顿在向你介绍公司的数据保护程序和技术时,也显得百无聊赖。这是一个松散的控制组合,缺乏一致性,存在很多弱点。"卡尔顿说:"这是一家技术公司。"我们创造。我们创新。我不希望不必要的措施只会拖慢人们的脚步,扰乱他们的思绪。会议一直持续到傍晚。离开时,你穿过办公室。办公室就像刚刮过一场大风,文件散落在办公桌、桌子甚至地板上。A
由一名青少年组成的 "清洁队 "正在清空垃圾桶。有几台电脑晚上一直开着,还有几台不见了。卡尔顿注意到你们对此的关注:"我的大多数同事都会把笔记本电脑带回家,或者使用自己的平板电脑或手机。我希望他们使用任何能帮助他们思考的东西,无论白天还是黑夜,都能为伟大的洞察力做好准备。这种机会可能只有一次!"推荐给 Gadgo 的最佳审计类型是什么?

 
 
 
 

NO.25 以下哪项不是隐私计划指标?

 
 
 
 

NO.26 以下哪项不是制定数据保留政策时需要考虑的重要因素?

 
 
 
 

NO.27 您的营销团队想知道为什么需要在短信选择框上打勾。您解释说,这是消费者权利的一部分。

 
 
 
 

NO.28 以下所有更改都可能触发数据清单更新,除了?

 
 
 
 

NO.29 情景
请用下面的文字回答下一个问题:
本在 IgNight 公司的 IT 部门工作,该公司为客户设计照明解决方案。虽然 IgNight 公司的客户群主要是美国的办公室,但一些人被灯具的独特美感和节能设计所吸引,要求 IgNight 公司在他们全球各地的家中安装灯具。
一个星期天的早上,Ben 在使用工作笔记本电脑购买即将到来的音乐节门票时,偶然发现公司文件上有一些不寻常的用户活动。粗略查看了一下,所有数据似乎都还在原处,但他总觉得哪里不对劲。他知道这有可能是同事在进行计划外维护,但他想起了公司安全团队的一封电子邮件,其中提醒员工警惕来自已知恶意行为者组织的专门针对该行业的攻击。
Ben 是一名勤奋的员工,他想确保自己能保护公司,但又不想在周末打扰辛勤工作的同事。他打算明天一早就与这位经理讨论此事,但他希望做好准备,以便展示自己在这方面的知识,并为自己的晋升申辩。
展望未来,IgNight 如何才能让其 IT 团队做好管理此类安全事件的准备?

 
 
 
 

NO.30 情景
请用下面的文字回答下一个问题:
Nationwide Grill 连锁餐厅的首席财务官娜塔莉亚从未见过她的同事们如此焦虑。上周,该公司使用的一家数据处理公司报告称,其系统可能已被黑客入侵,姓名、地址和生日等客户数据可能已被泄露。虽然这次尝试没有成功,但这次恐慌促使 Nationwide Grill 的几位高管在今天的会议上就公司的隐私计划提出了质疑。
副总裁爱丽丝说,这起事件可能会引发诉讼,潜在地损害 Nationwide Grill 公司的市场地位。首席信息官布兰登(Brendan)试图向她保证,即使真的存在漏洞,对公司提起诉讼的胜诉几率也很小。但爱丽丝仍然不相信。
曾任首席执行官、现任高级顾问的斯宾塞说,他一直反对使用承包商进行数据处理。他认为,至少应要求承包商承担合同责任,将任何安全事故告知客户。在他看来,Nationwide Grill 公司不应该被迫为自己没有造成的问题承担责任。
随后,业务开发部(BD)的一位主管海利发言,恳请大家理智一些。
"她说:"尽管各组织尽了最大努力,但仍有可能发生泄密事件。"合理的准备是关键。她提醒大家注意七年前发生的事件,当时大型连锁杂货店 Tinkerton's 在大量订购 Nationwide Grill 速冻晚餐后,其财务信息遭到泄露。作为一名长期从事业务发展的高管,Haley 对 Tinkerton's 的企业文化有着深入的了解,并在多年的关系培养中积累了丰富的经验,因此她能够成功地管理公司的事件响应。
斯宾塞回答说,理智行事意味着让公司内部的安全职能部门来处理安全问题,而不是让 BD 员工来处理。他说,同样,人力资源部(HR)也需要对员工进行更好的培训,以防止事件的发生。他指出,Nationwide Grill 公司的员工被人力资源部门和道德部门关于公司隐私计划的海报、电子邮件和备忘录弄得焦头烂额。信息的数量和重复意味着这些信息经常被完全忽略。
斯宾塞说:"公司需要致力于隐私计划,并为所有员工制定每月一次的定期面对面培训"。爱丽丝回答说,这个建议虽然用心良苦,但并不实际。公司分布在许多地方,当地的人力资源部门需要灵活安排培训时间。娜塔莉亚默默地表示同意。
如何解决对斯宾塞培训建议的反对意见?

 
 
 
 

第 31 号 情景
请用下面的文字回答下一个问题:
艾伯特在 Treasure Box 工作了 15 年,这是美国的一家邮购公司。
48 个毗连州。尽管拥有多年的工作经验,艾伯特在担任管理职位时却经常被忽视。他对得不到晋升感到沮丧,加上最近对隐私保护问题的兴趣,促使艾伯特成为积极变革的推动者。
他即将参加一个新招聘职位的面试,在面试过程中,艾伯特计划让公司高管意识到公司隐私计划中的漏洞。他觉得自己一定会因为防止公司过时的政策和程序造成负面影响而获得晋升。
例如,艾伯特了解到 AICPA(美国注册会计师协会)/CICA(加拿大特许会计师协会)隐私成熟度模型 (PMM)。艾伯特认为,该模型是衡量宝盒保护个人数据能力的有效方法。艾伯特注意到,Treasure Box 未能达到该模型最高成熟度的要求;在面试中,艾伯特将承诺协助公司达到这一水平,以便为客户提供最严格的安全保护。
艾伯特确实希望在面试中表现出积极的态度。他打算赞扬公司致力于保护客户和员工的个人数据安全,以抵御外部威胁。然而,艾伯特担心公司内部的高流动率,尤其是在电话直销领域。他每天都能看到许多陌生的面孔,他们都是受雇从事营销工作的,他经常在午餐室听到一些抱怨,抱怨工作时间长、工资低,而且似乎公然无视公司的程序。
此外,百宝箱最近还发生了两起安全事件。公司已通过内部审计和更新安全保护措施来应对这些事件。但是,利润似乎仍然受到影响,而且传闻证据表明,许多人仍然对公司不信任。艾伯特希望帮助公司恢复元气。
他知道至少有一起公众不知道的事件,尽管艾伯特不知道细节。他认为,公司坚持对这一事件保密,可能会进一步损害公司的声誉。艾伯特希望帮助百宝箱公司重振声誉的另一个方法是为客户开通免费电话号码,以及通过邮寄方式更有效地回复客户的问题。
除了提出改进建议外,艾伯特还认为,他对公司近期业务活动的了解也会给面试官留下深刻印象。例如,艾伯特知道公司打算在未来几周内收购一家医疗用品公司。
艾伯特希望通过自己的前瞻性思维,让面试他的经理们相信他是这份工作的不二人选。
艾伯特最有可能需要补充以下哪方面的知识?

 
 
 
 

第 32 号 情景
请用下面的文字回答下一个问题:
佩妮(Penny)最近加入了在线销售家居用品配件的 Ace Space 公司,担任新的隐私官。该公司总部位于加利福尼亚州,但由于去年一位社交媒体影响者的大力宣传,该公司从欧盟获得了大量的销售额,并在爱尔兰设立了地区办事处,以支持这一扩张。为了熟悉 Ace Space 的做法并评估她的隐私保护优先事项,Penny 与一些同事进行了会面,听取他们的工作情况和合规工作。
佩妮的市场部同事对新的销售额和公司计划感到兴奋,但同时也担心佩妮会减少他计划中的一些发展机会。他告诉她:"我在休息室听到有人在谈论一些新的隐私法,但我真的不认为这对我们有什么影响。我们只是一家小公司。我是说,我们只是在网上卖饰品,有什么真正的风险呢?他还告诉她,他与许多小公司合作,这些公司帮助他快速完成项目。"我们必须按期完成,否则就会亏本。我只需签署合同,然后让财务部门的吉姆催促付款。审查合同需要时间,而我们没有时间。在与 IT 团队成员的会面中,佩妮了解到,虽然 Ace Space 采取了一系列预防措施来保护其网站免受恶意活动的侵害,但对其物理文件或内部基础设施却没有采取同等程度的保护措施。佩妮在 IT 部门的同事告诉她,一名前员工在离职时丢失了一个加密的 USB 密钥,里面有财务数据。去年,该公司因遭受网络钓鱼攻击而差点无法访问客户数据库。Penny 的 IT 同事告诉她,IT 团队 "不知道该做什么,也不知道谁该做什么。我们没有接受过这方面的培训,但我们是一个小团队,所以最后还是解决了。佩妮担心这些问题会危及 Ace Space 的隐私和数据保护。
佩妮意识到公司制定了稳健的国际销售增长计划,她将与首席执行官密切合作,对公司进行数据 "大调整"。她的任务是在公司内部培养强大的隐私文化。
佩妮今天要与 Ace Space 的首席执行官会面,并被要求提供她的第一印象和下一步计划的概述。
要确定 Ace Space 当前的隐私成熟度基线,Penny 应考虑以下所有因素,除了?

 
 
 
 

NO.33 情景
请用下面的文字回答下一个问题:
也许杰克-凯利本应留在美国。他在特殊装卸航运公司内部享有盛誉,因为他致力于改革某些 "不守规矩 "的办事处。去年,有消息称,警方的一次刺杀行动揭露了一个在美国罗德岛州普罗维登斯办事处活动的贩毒团伙。该办事处的视频监控录像被泄露给了新闻机构,其中显示了 Special Handling 员工与卧底人员之间的毒品交易。
事件发生后,凯利被派往普罗维登斯改变 "不闻不问 "的文化,上层管理者认为这种文化让犯罪分子得以进行非法交易。在凯利的领导下,几周后,办公室就成为了效率和客户服务的典范。凯利使用与记录前同事非法行为相同的摄像机监控员工的活动。
现在,凯利被责成扭转爱尔兰科克办事处的局面,这是另一个麻烦点。公司曾多次接到员工擅离办公室的报告。凯利到任后发现,即使员工在办公室,他们也经常用手机进行社交活动或处理私人事务。他再次用监控摄像头观察了他们的行为。仅根据第一天的录像,他就对六名工作人员进行了书面训斥。
令凯利感到惊讶和懊恼的是,他和公司目前正在接受爱尔兰数据保护专员的调查,涉嫌侵犯员工的隐私权。凯利被告知,公司的摄像头使用许可证上将设施安全列为主要用途,但他不知道这有什么关系。他向上级指出,公司关于隐私保护和数据收集的培训计划中没有提到任何关于监控视频的内容。
你是公司聘请的隐私保护顾问,负责评估这一事件,报告法律和合规问题,并提出下一步建议。
既然监管机构正在调查,最好采取什么措施?

 
 
 
 

NO.34 情景
请用下面的文字回答下一个问题:
Edufox 每年都会为其著名的电子学习软件平台的用户举办一次大会,随着时间的推移,这已经成为一次盛会。大会将市中心的一家大型会议酒店挤得水泄不通,其他酒店也挤得水泄不通,数千名与会者在为期三天的会议中聆听演讲、参加小组讨论和进行交流。大会是公司产品推广计划的核心,也是对现有用户进行培训的绝佳机会。销售人员还鼓励潜在客户参加大会,以便更好地了解系统的定制方式,从而满足不同的需求,并让他们明白,一旦购买了这一系统,他们就加入了一个像家庭一样的社区。
距离今年的大会只有三周时间了,而你们刚刚听说了一项支持大会的新举措:
为参会者提供智能手机应用程序。该应用程序将支持延迟注册,突出显示特色演讲,并提供移动版会议日程。它还将链接到一个餐厅预订系统,提供特色地区的最佳美食。"开发者迪德丽-霍夫曼(Deidre Hoffman)告诉你:"如果我们真的能让它正常运行的话,它一定会很棒!"她紧张地笑了笑,但解释说,由于开发应用程序的时间紧迫,她把工作外包给了当地的一家公司。"虽然只有三个年轻人,"她说,"但他们做得很棒。她介绍了他们制作的其他一些应用程序。当被问及他们是如何被选中做这份工作时,Deidre耸耸肩。"他们做得很好,所以我选择了他们。Deidre 是一名出色的员工,工作成绩斐然。这也是她负责完成这个仓促项目的原因。你相信她是以公司的最大利益为重,你也不怀疑她是迫于压力,不得不在最后期限前完成任务。但是,你对应用程序处理个人数据的方式和安全保障措施感到担忧。在休息室吃午饭时,你开始和她讨论这个问题,但她很快就试图向你保证:"如果有必要,我相信在你的帮助下,我们可以解决任何安全问题,但我怀疑不会有任何安全问题。这些人以开发应用程序为生,他们知道自己在做什么。你担心得太多了,但这正是你工作出色的原因!"你要指出的是,在这件事上并没有遵循正常的协议。
哪个过程尤其被忽视了?

 
 
 
 

第 35 号 贵公司为 B2B 服务提供 SaaS 工具,不与个人消费者互动。客户的一名在职员工提出了删除权请求,请问最合适的回应是什么?

 
 
 
 

第 36 号 情景
请用下面的文字回答下一个问题:
作为公司的新任首席执行官,托马斯-戈达德希望成为数据保护领域的领军人物。戈达德最近曾担任 Hoopy.com 的首席财务官,Hoopy.com 是在线视频观看领域的先驱,在全球拥有数百万用户。不幸的是,Hoopy 因其道德上有问题的做法,包括未经授权向营销人员出售个人数据而在隐私保护圈内声名狼藉。尽管公司声称采取了 "适当的 "数据保护措施,但至少有 200 万个信用卡号码被盗。这一丑闻影响了该公司的业务,因为竞争对手很快就在市场上推出了更高水平的保护措施,同时提供类似的娱乐和媒体内容。丑闻曝光后三周内,Hoopy 创始人兼首席执行官麦克斯韦尔-马丁(戈达德的导师)被迫下台。
不过,戈达德似乎已经站稳了脚跟,他在自己的公司 Medialite 担任首席执行官一职,这家公司刚刚摆脱初创阶段。他向公司董事会和投资者推销了自己的愿景:Medialite 将在行业领先的数据保护标准和程序的基础上建立自己的品牌。
他可能曾经是一个在隐私问题上失效甚至不守规矩的组织的重要成员,但现在他声称自己已经改过自新,并且是隐私保护的忠实信徒。上任第一周,他就把你叫到他的办公室,向你解释说,你的主要工作职责是将他对隐私保护的愿景付诸实践。但你也察觉到了一些保留意见。"他说:"我们希望 Medialite 绝对达到最高标准。他说:"事实上,我希望我们能够说,我们是隐私和数据保护领域当之无愧的行业领导者。但是,我也需要负责任地管理公司的财务。因此,虽然我想要全面的最佳解决方案,但这些解决方案也必须具有成本效益"。你被要求在一周内汇报你的建议。带着这个模棱两可的任务,你离开了行政办公室,开始考虑下一步的行动。
您向首席执行官介绍隐私计划的成熟度。根据 AICPA/CICA 隐私成熟度模型,"有管理的 "隐私计划意味着什么?

 
 
 
 

NO.37 情景
请用下面的文字回答下一个问题:
你领导着一家公司的隐私办公室,该办公室负责处理居住在欧洲和美洲多个国家的个人的信息。当天上午,一位合同官员给您发送了一条信息,要求您给他打个电话。信息不够清晰详细,但您推测数据丢失了。
当您联系合同主管时,他告诉您,他收到了一封来自供应商的信件,信中称供应商不当共享了贵公司客户的信息。他给供应商打了电话,证实贵公司最近对 2000 人进行了调查,了解他们最近的医疗保健经历,并将这些调查寄给了供应商,让供应商将其转录到数据库中,但供应商忘记按照合同中的承诺对数据库进行加密。结果,供应商失去了对数据的控制。
供应商非常抱歉,表示愿意负责发送通知。他们告诉你,他们预留了 2000 张已贴邮票的明信片,因为这样可以减少邮寄通知所需的时间。明信片的一面仅限于他们的徽标,但另一面是空白的,他们可以接受你想写的任何内容。你暂时搁置了他们的提议,开始在有限的空间内撰写文字。您满足于让供应商的徽标与通知相关联。
该通知解释说,贵公司最近雇用了一家供应商来存储其最近在圣塞巴斯蒂安医院传染病诊所就诊的信息。该供应商没有对信息进行加密,因此不再控制这些信息。我们邀请所有 2000 名受影响的个人注册,以接收有关其信息的电子邮件通知。他们只需访问贵公司的网站并观看快速广告,然后提供姓名、电子邮件地址和出生年月。
如果在这种情况下出了什么差错,你希望分散同事们的指责。在接下来的八个小时里,每个人都通过电子邮件来回发送自己的意见。领导事故应急小组的顾问指出,这是他第一天来公司,但他在其他行业已经工作了 45 年,会尽全力做好工作。委员会中的三位律师之一使谈话偏离了方向,但最终还是回到了正轨。最后,他们投票决定采用你写的通知,并使用供应商的明信片。
供应商寄出明信片后不久,您得知服务器上的数据被盗,于是决定让公司提供信用监控服务。在互联网上快速搜索发现了一家信用监控公司,它的名字很有说服力:Credit Under Lock and Key (CRUDLOK)。贵公司的销售代表从未处理过 2000 人的合同,但却在大约一天内制定了一份建议书,称 CRUDLOK 会处理:
1.在签订合同的第二天向每个人发送入学邀请函。
2.只用姓名和国家标识符的后 4 位来注册。
3.自注册之日起两年内对每位注册者的信用进行监控。
4.每月发送一封电子邮件,介绍他们的信用评级以及以市场价格提供的信用相关服务。
5.向贵公司收取任何信用恢复费用的 20% 费用。
您签署了合同,并通过电子邮件向 2000 人发出了注册邀请。三天后,您坐下来,记录下所有进展顺利的地方和本可以做得更好的地方。您将其存入档案,以便下次发生事故时参考。
关于信用监控,以下哪项最值得关注?

 
 
 
 

第 38 号 以下哪项说明您已经为贵组织制定了正确的隐私框架?

 
 
 
 

第 39 号 情景
请用下面的文字回答下一个问题:
这正是你所担心的。在没有征求你意见的情况下,你所在组织的信息技术主管推出了一项新举措,鼓励员工使用个人设备开展业务。这一举措使购买一台新的、高规格的笔记本电脑成为一个极具吸引力的选择,折扣笔记本电脑的费用可以通过工资扣除的方式在一年的工资中支付。该组织还支付销售税。一个月后,该组织一半以上的员工已经签约并购买了新笔记本电脑。一天工作结束后,大多数人都会把笔记本电脑带走,可能会把个人数据带到家里或其他不为人知的地方。这足以让你做数据保护的噩梦,你已经向信息技术总监和组织中的许多其他人指出了这种新做法的潜在危害,包括最终数据丢失或被盗的不可避免性。
今天,你的办公室里来了一位公司市场部的代表,他很不情愿地向你讲述了一个可能带来严重后果的故事。前一天晚上,他一下班就带着笔记本电脑,去牛角酒吧和朋友们打台球。一个美好的运动和社交之夜就这样开始了,笔记本电脑被 "安全 "地放在长椅上,夹克衫下面。当晚晚些时候,当他要离开时,他拿回了夹克,但笔记本电脑却不见了。它既不在长凳下面,也不在附近的另一张长凳上。服务员也没有看到。他的朋友们没有跟他开玩笑。经过一个不眠之夜,他今天早上在酒吧停下来和清洁人员交谈时确认了这一点。他们没有找到。笔记本电脑不见了。看来是被偷了。他看着你,既尴尬又不安。
你问他笔记本电脑里是否有客户的个人资料,很遗憾,他点头说有。他认为里面有大约 100 名客户的文件,包括姓名、地址和政府身份证号码。他叹了口气,绝望地双手抱头。
从企业角度来看,如何看待员工在工作相关任务中使用个人设备的问题?

 
 
 
 

NO.40 PCI DSS 框架不要求以下哪些控制措施?

 
 
 
 

通过实际的 182 个问题为您的 CIPM 考试做好准备: https://www.examslabs.com/IAPP/Certified-Information-Privacy-Manager/best-CIPM-exam-dumps.html