空白を埋める
VPI
出発点として、コンサルタントは、組織内およびサード パーティによって処理される個人情報 (PI) の種類を理解するために可視化の演習を行いました。範囲は、クライアントとのすべての関係 (IT サービスと BPM の両方) をカバーすることでした。機能。このデータを収集するために、顧客関係およびビジネス機能の所有者と面会しました。コンサルタントは、企業が個人情報を直接収集するかどうか、個人情報へのアクセス、送信、保存方法、適用される規制および契約上の要件を含む、個人情報と関連する属性を特定するためのマッピング演習を行いました。膨大な規模の演習 (企業全体) を考慮して、コンサルタントは PI を財務情報、健康関連情報、個人を特定できる情報などに分類しました。この分類に対して残りの属性を収集しました。基礎となるテクノロジー環境を理解する際、コンサルタントは、企業の所有権と前提条件の下にあるテクノロジー環境のみに限定し、クライアント側の環境については演習を継続しませんでした。これは、関係の所有者がそのようなクライアント固有の詳細を共有することに消極的であるように思われたために行われました. リレーションシップ ヘッドが積極的にコンサルタントをクライアントに紹介し、必要な情報を入手したのは 2 つのリレーションシップだけでした。この 2 つの関係の環境を分析すると、会社側では多くの制限が課されていたにもかかわらず、クライアント側では同じ制限が適用されないことが明らかになりました。コンサルタントは、会社の所有権と敷地内にあるテクノロジ環境のみに制限され、クライアント側の環境の演習は継続されませんでした。これは、関係の所有者がそのようなクライアント固有の詳細を共有することに消極的であるように思われたために行われました. リレーションシップ ヘッドが積極的にコンサルタントをクライアントに紹介し、必要な情報を入手したのは 2 つのリレーションシップのみでした。この 2 つの関係の環境を分析すると、会社側では多くの制限が課されていたにもかかわらず、クライアント側では同じ制限が適用されないことが明らかになりました。コンサルタントは、会社の所有権と敷地内にあるテクノロジ環境のみに制限され、クライアント側の環境の演習は継続されませんでした。これは、関係の所有者がそのようなクライアント固有の詳細を共有することに消極的であるように思われたために行われました. リレーションシップ ヘッドが積極的にコンサルタントをクライアントに紹介し、必要な情報を入手したのは 2 つのリレーションシップのみでした。この 2 つの関係の環境を分析すると、会社側では多くの制限が課されていたにもかかわらず、クライアント側では同じ制限が適用されないことが明らかになりました。これは、関係の所有者がそのようなクライアント固有の詳細を共有することに消極的であるように思われたために行われました. リレーションシップ ヘッドが積極的にコンサルタントをクライアントに紹介し、必要な情報を入手したのは 2 つのリレーションシップのみでした。この 2 つの関係の環境を分析すると、会社側では多くの制限が課されていたにもかかわらず、クライアント側では同じ制限が適用されないことが明らかになりました。これは、関係の所有者がそのようなクライアント固有の詳細を共有することに消極的であるように思われたために行われました. リレーションシップ ヘッドが積極的にコンサルタントをクライアントに紹介し、必要な情報を入手したのは 2 つのリレーションシップのみでした。この 2 つの関係の環境を分析すると、会社側では多くの制限が課されていたにもかかわらず、クライアント側では同じ制限が適用されないことが明らかになりました。
多くのビジネス機能は、サード パーティのサービス プロバイダーからのサービスも利用していました。これらの機能は、サード パーティが扱う PI の種類を認識していましたが、サード パーティの技術環境については認識していませんでした。ある奇妙なケースでは、会社の従業員の個人情報が、ソーシャル ネットワーキング サイトを通じて第三者の従業員によって誤って漏洩されました。コンサルタントは、第三者の機能によって提供されたあらゆる情報に依存していました。データ収集が終了した後、コンサルタントはその情報を使用して、会社の敷地内に展開されたシステム全体の情報の流れを強調する情報フロー マップを作成しました。この作業は、会社が扱う PI の概要を把握するのに役立ちました。データ収集演習は、コンサルタントによって 1 回だけ実施されました。可視化の演習により、経営陣は PI とそれが組織全体でどのように流れているかを全社的に把握できるようになりました。この情報は、PI のリスク体制を導き出すために、関係または機能レベルで展開されたセキュリティ コントロール/プラクティスと結合されました。
(注: 候補者は、最終的な結論に達するために、必要に応じて仮説を立てて述べることが求められます) はじめにおよび背景 XYZ は、BSE および NSE にリストされている、インドを拠点とする主要な IT およびビジネス プロセス管理 (BPM) サービス プロバイダーです。30 か国の 100 のオフィスで 150 万人以上の従業員が働いています。アメリカ、ヨーロッパ、アジア太平洋、中東、アフリカの BFSI、小売、政府、ヘルスケア、テレコムなど、さまざまな業界の 500 以上のクライアントにサービスを提供しています。同社は、アプリケーションの開発と保守、IT インフラストラクチャの管理、コンサルティングなどの IT サービスを提供しています。また、主にBFSIの顧客向けにIT製品も提供しています。
同社は、クレジット カード処理、給与処理、カスタマー サポート、法務プロセス アウトソーシングなどを含む財務および会計を含む BPM サービスで、ここ数年で驚異的な成長を遂げており、プラットフォーム ベースのサービスを展開しています。同社の収益のほとんどは、米国の BFSI セクターからのものです。ポートフォリオを多様化するために、同社はヨーロッパでの事業拡大を目指しています。インドも、特に国内の IT 支出が驚異的に増加していることから、同社の注目を集めています。さまざまな大規模なITプロジェクトを通じて政府によって。
同社はクラウドとモビリティの分野でも非常に積極的であり、クラウド サービスの提供に重点を置いています。ヨーロッパでの事業拡大に関しては、EU 一般データ保護規則 (EU GDPR) に基づく厳格な規制要件から生じる顧客のプライバシー関連の懸念のため、会社は市場の可能性を最大限に実現するのに困難に直面しています。
この市場へのより良いアクセスを得るために、同社はプライバシーに投資することを決定しました。これにより、EU の潜在的な顧客にさらなる保証を提供できるようになります。これは、米国でもプライバシーに関する懸念が高まっているため、米国での事業にも利益をもたらします。また、米国市民の機密性の高い医療記録の保護を含む、米国のヘルスケア部門でのアウトソーシングの機会を企業が活用するのにも役立ちます。
同社は、今後のクラウド ビジネスにおいてプライバシーも重要な差別化要因になると考えています。つまり、プライバシーは 2011 年初頭に同社の戦略的イニシアチブとして取り上げられました。
XYZ は社内にコンサルティング部門を持っていたため、企業全体のプライバシー プログラムを設計および実装する責任をコンサルティング部門に割り当てました。コンサルティング部門は、情報セキュリティ コンサルティングに関して非常に優れた専門知識を持っていましたが、プライバシー ドメインに関する専門知識は限られていました。このプロジェクトは、CIO のオフィスが主導し、企業の情報セキュリティおよび法務部門と緊密に協議することになっていました。
視認性訓練は適切に実施されましたか?どんなギャップに気づきましたか?(250~500ワード)
VPI
出発点として、コンサルタントは、組織内およびサード パーティによって処理される個人情報 (PI) の種類を理解するために可視化の演習を行いました。範囲は、クライアントとのすべての関係 (IT サービスと BPM の両方) をカバーすることでした。機能。このデータを収集するために、顧客関係およびビジネス機能の所有者と面会しました。コンサルタントは、企業が個人情報を直接収集するかどうか、個人情報へのアクセス、送信、保存方法、適用される規制および契約上の要件を含む、個人情報と関連する属性を特定するためのマッピング演習を行いました。膨大な規模の演習 (企業全体) を考慮して、コンサルタントは PI を財務情報、健康関連情報、個人を特定できる情報などに分類しました。この分類に対して残りの属性を収集しました。基礎となるテクノロジー環境を理解する際、コンサルタントは、企業の所有権と前提条件の下にあるテクノロジー環境のみに限定し、クライアント側の環境については演習を継続しませんでした。これは、関係の所有者がそのようなクライアント固有の詳細を共有することに消極的であるように思われたために行われました. リレーションシップ ヘッドが積極的にコンサルタントをクライアントに紹介し、必要な情報を入手したのは 2 つのリレーションシップだけでした。この 2 つの関係の環境を分析すると、会社側では多くの制限が課されていたにもかかわらず、クライアント側では同じ制限が適用されないことが明らかになりました。コンサルタントは、会社の所有権と敷地内にあるテクノロジ環境のみに制限され、クライアント側の環境の演習は継続されませんでした。これは、関係の所有者がそのようなクライアント固有の詳細を共有することに消極的であるように思われたために行われました. リレーションシップ ヘッドが積極的にコンサルタントをクライアントに紹介し、必要な情報を入手したのは 2 つのリレーションシップのみでした。この 2 つの関係の環境を分析すると、会社側では多くの制限が課されていたにもかかわらず、クライアント側では同じ制限が適用されないことが明らかになりました。コンサルタントは、会社の所有権と敷地内にあるテクノロジ環境のみに制限され、クライアント側の環境の演習は継続されませんでした。これは、関係の所有者がそのようなクライアント固有の詳細を共有することに消極的であるように思われたために行われました. リレーションシップ ヘッドが積極的にコンサルタントをクライアントに紹介し、必要な情報を入手したのは 2 つのリレーションシップのみでした。この 2 つの関係の環境を分析すると、会社側では多くの制限が課されていたにもかかわらず、クライアント側では同じ制限が適用されないことが明らかになりました。これは、関係の所有者がそのようなクライアント固有の詳細を共有することに消極的であるように思われたために行われました. リレーションシップ ヘッドが積極的にコンサルタントをクライアントに紹介し、必要な情報を入手したのは 2 つのリレーションシップのみでした。この 2 つの関係の環境を分析すると、会社側では多くの制限が課されていたにもかかわらず、クライアント側では同じ制限が適用されないことが明らかになりました。これは、関係の所有者がそのようなクライアント固有の詳細を共有することに消極的であるように思われたために行われました. リレーションシップ ヘッドが積極的にコンサルタントをクライアントに紹介し、必要な情報を入手したのは 2 つのリレーションシップのみでした。この 2 つの関係の環境を分析すると、会社側では多くの制限が課されていたにもかかわらず、クライアント側では同じ制限が適用されないことが明らかになりました。
多くのビジネス機能は、サード パーティのサービス プロバイダーからのサービスも利用していました。これらの機能は、サード パーティが扱う PI の種類を認識していましたが、サード パーティの技術環境については認識していませんでした。ある奇妙なケースでは、会社の従業員の個人情報が、ソーシャル ネットワーキング サイトを通じて第三者の従業員によって誤って漏洩されました。コンサルタントは、第三者の機能によって提供されたあらゆる情報に依存していました。データ収集が終了した後、コンサルタントはその情報を使用して、会社の敷地内に展開されたシステム全体の情報の流れを強調する情報フロー マップを作成しました。この作業は、会社が扱う PI の概要を把握するのに役立ちました。データ収集演習は、コンサルタントによって 1 回だけ実施されました。可視化の演習により、経営陣は PI とそれが組織全体でどのように流れているかを全社的に把握できるようになりました。この情報は、PI のリスク体制を導き出すために、関係または機能レベルで展開されたセキュリティ コントロール/プラクティスと結合されました。
(注: 候補者は、最終的な結論に達するために、必要に応じて仮説を立てて述べることが求められます) はじめにおよび背景 XYZ は、BSE および NSE にリストされている、インドを拠点とする主要な IT およびビジネス プロセス管理 (BPM) サービス プロバイダーです。30 か国の 100 のオフィスで 150 万人以上の従業員が働いています。アメリカ、ヨーロッパ、アジア太平洋、中東、アフリカの BFSI、小売、政府、ヘルスケア、テレコムなど、さまざまな業界の 500 以上のクライアントにサービスを提供しています。同社は、アプリケーションの開発と保守、IT インフラストラクチャの管理、コンサルティングなどの IT サービスを提供しています。また、主にBFSIの顧客向けにIT製品も提供しています。
同社は、クレジット カード処理、給与処理、カスタマー サポート、法務プロセス アウトソーシングなどを含む財務および会計を含む BPM サービスで、ここ数年で驚異的な成長を遂げており、プラットフォーム ベースのサービスを展開しています。同社の収益のほとんどは、米国の BFSI セクターからのものです。ポートフォリオを多様化するために、同社はヨーロッパでの事業拡大を目指しています。インドも、特に国内の IT 支出が驚異的に増加していることから、同社の注目を集めています。さまざまな大規模なITプロジェクトを通じて政府によって。
同社はクラウドとモビリティの分野でも非常に積極的であり、クラウド サービスの提供に重点を置いています。ヨーロッパでの事業拡大に関しては、EU 一般データ保護規則 (EU GDPR) に基づく厳格な規制要件から生じる顧客のプライバシー関連の懸念のため、会社は市場の可能性を最大限に実現するのに困難に直面しています。
この市場へのより良いアクセスを得るために、同社はプライバシーに投資することを決定しました。これにより、EU の潜在的な顧客にさらなる保証を提供できるようになります。これは、米国でもプライバシーに関する懸念が高まっているため、米国での事業にも利益をもたらします。また、米国市民の機密性の高い医療記録の保護を含む、米国のヘルスケア部門でのアウトソーシングの機会を企業が活用するのにも役立ちます。
同社は、今後のクラウド ビジネスにおいてプライバシーも重要な差別化要因になると考えています。つまり、プライバシーは 2011 年初頭に同社の戦略的イニシアチブとして取り上げられました。
XYZ は社内にコンサルティング部門を持っていたため、企業全体のプライバシー プログラムを設計および実装する責任をコンサルティング部門に割り当てました。コンサルティング部門は、情報セキュリティ コンサルティングに関して非常に優れた専門知識を持っていましたが、プライバシー ドメインに関する専門知識は限られていました。このプロジェクトは、CIO のオフィスが主導し、企業の情報セキュリティおよび法務部門と緊密に協議することになっていました。
視認性訓練は適切に実施されましたか?どんなギャップに気づきましたか?(250~500ワード)
