구축 로드맵의 1단계다. 프로그램의 범위를 정하고(3.4), 정책을 수립하며(3.1), 참여자의 역량과 인지를 확보한다(3.2, 3.3). 이후의 모든 조항이 이 기반 위에서 작동한다.
이 섹션의 다중 페이지 출력 화면임. 여기를 클릭하여 프린트.
프로그램 기반
AI SBOM 컴플라이언스 프로그램의 기반을 세우는 단계다. 정책, 역량, 인지, 범위를 갖춘다.
- 1: 3.1 정책
- 2: 3.2 역량
- 3: 3.3 인지
- 4: 3.4 프로그램 범위
1 - 3.1 정책
AI SBOM 컴플라이언스를 규율하는 성문 정책을 수립하고 전파하는 방법을 안내한다.
구축 단계
이 조항은 Phase 1 — 프로그램 기반 단계에서 구축한다. 전체 구축 로드맵 보기
1. 조항 개요
AI SBOM 정책이 없는 조직은 개발자가 모델과 데이터셋의 라이선스 의무를 인지하지 못한 채 AI 시스템을 배포하게 된다. AI에서는 추적할 대상이 코드를 넘어선다. 모델 가중치, 학습 데이터셋, 다른 모델에서 파생된 모델 트리가 각자 고유한 라이선스를 가지며, Llama 커뮤니티 라이선스나 RAIL 계열처럼 사용 목적을 제한하는 비표준 라이선스도 흔하다. 이런 의무를 놓치면 저작권 분쟁, 사용 제한 위반, 거래처 계약 해지로 이어진다.
3.1은 이 위험을 예방하기 위해 AI SBOM 컴플라이언스를 관리하는 문서화된 정책을 수립하고, 프로그램 참여자가 그 존재를 인식하도록 전파할 것을 요구한다. 이 정책은 사업 전략, 관할 구역의 법적 요구사항, 사용 사례에 맞는 위험 수준을 반영해야 한다. 이후 모든 조항(역량, 라이선스 의무, AI SBOM, 거버넌스 등)은 이 정책 위에서 작동한다.
2. 해야 할 활동
- AI SBOM 컴플라이언스를 관리하는 정책 문서를 작성하고 공식화한다.
- 정책에 적용 범위(외부 배포 AI 시스템, 외부 모델·데이터셋 도입, 사내 모델 공개 등)를 정의한다.
- 정책에 사업 전략, 관할 구역의 법적 요구사항, 사용 사례별 위험 수준을 반영한다.
- 모델과 데이터셋에 허용하거나 금지하는 라이선스 목록을 정책에 포함한다. ([본 가이드 권고] 비표준 라이선스의 준수를 사후에 자동 추적하기 어려우므로 도입 시점에 정책으로 결정한다.)
- 프로그램 참여자(개발, 법무, 보안, 데이터 담당 등)에게 정책을 전파하는 절차를 수립하고 문서화한다.
- 전파 사실을 증명할 기록(교육 이수, 공지 이력 등)을 보관한다.
- 정기적으로 정책을 검토하고 변경 시 재전파하는 절차를 정책에 포함한다.
3. 요구사항 및 입증자료
| 조항 번호 | 요구사항 (KO) | 입증자료 |
|---|---|---|
| 3.1 | AI SBOM 컴플라이언스를 규율하는 성문 정책이 존재해야 하며, 내부에 전달되어야 한다. 정책은 사업 전략, 관할 구역의 법적 요구사항, 사용 사례에 적절한 위험 수준을 반영해야 한다. | 3.1.1 위 요구사항을 충족하는 문서화된 정책 3.1.2 프로그램 참여자가 정책의 존재를 인지하도록 만드는 문서화된 절차(예: 교육, 사내 위키, 그 밖의 실질적 전달 수단) |
영문 원문 보기
3.1 Policy A written policy shall exist that governs AI System Bill of Materials (AI SBOM) compliance. The policy shall be internally communicated, and informed by business strategy, legal requirements in the relevant jurisdictions, and the level of risk appropriate for the use case.
Verification material(s):
- A documented policy meeting the above requirements
- A documented procedure that makes program participants aware of the existence of the policy (e.g. via training, internal wiki or other practical communication method)
4. 입증자료별 준수 방법 및 샘플
3.1.1 문서화된 AI SBOM 정책
준수 방법
AI SBOM 정책은 조직이 AI 시스템의 라이선스와 투명성 의무를 관리하기 위한 원칙과 절차를 담은 공식 문서다. 정책에는 목적, 적용 범위, 역할과 책임, 모델과 데이터셋의 라이선스 검토 원칙, AI SBOM 관리, 투명성 의무 대응, 검토 주기 등이 포함되어야 한다. 이 문서 자체가 입증자료 3.1.1이므로 버전과 승인 이력을 기록해 공식 문서로 관리한다.
기존에 ISO/IEC 5230 오픈소스 정책을 갖춘 조직이라면 새 정책을 따로 만들기보다 기존 정책에 AI 관련 절을 더하는 편이 효율적이다. 모델과 데이터셋이 라이선스 검토 대상에 포함된다는 점, 비표준 라이선스를 어떻게 다루는지, AI SBOM을 어떤 형식으로 관리하는지를 추가한다.
정책은 한 번 수립하고 방치하는 문서가 아니다. AI 규제 환경이 빠르게 바뀌므로 최소 연 1회 정기 검토를 실시하고 변경 이력을 기록한다.
고려사항
- AI 고유 범위 명시: 코드뿐 아니라 모델 가중치, 학습·테스트·검증 데이터셋, 모델 트리의 파생 관계가 라이선스 검토 대상임을 정책에 분명히 적는다.
- 라이선스 허용·금지 목록: 상업적 사용 가부와 행동 사용 제한을 기준으로 모델과 데이터셋의 라이선스를 허용 목록과 금지 목록으로 나눠 정책에 선반영한다. ([본 가이드 권고])
- 승인 절차: 법무팀 또는 AI 거버넌스 책임자가 최종 승인하고, 승인 날짜와 승인자를 기록한다.
- 버전 관리: 문서 버전과 변경 이력을 유지해 감사 시 이전 버전과 비교할 수 있게 한다.
- 정기 검토: 연 1회 이상 검토하며, 검토 완료 날짜와 검토자를 기록한다.
샘플
아래는 AI SBOM 정책의 적용 범위와 라이선스 허용·금지 목록 샘플이다. 이 텍스트가 입증자료 3.1.1의 핵심 구성 요소가 된다. 라이선스별 실제 조건은 각 라이선스 원문으로 확인한 뒤 조직의 사용 사례에 맞춰 분류한다.
## 1. 목적 및 적용 범위
이 정책은 회사가 AI 시스템을 안전하고 책임 있게 개발·배포하기 위한 컴플라이언스 원칙과
절차를 정의한다. ISO/IEC 5230(오픈소스 라이선스 컴플라이언스)과 OpenChain AI SBOM
컴플라이언스 가이드의 요구사항을 충족하도록 설계되었다.
적용 범위:
- 외부로 배포하는 모든 AI 시스템, 모델, 서비스.
- 외부에서 도입하는 사전학습 모델과 데이터셋.
- 사내 모델을 외부에 공개하는 활동.
## 2. 모델·데이터셋 라이선스 분류
도입하는 모델과 데이터셋의 라이선스는 아래 분류에 따라 검토한다. 분류에 없는
라이선스는 도입 전 AI 거버넌스 책임자의 검토를 거친다.
- 허용(상업적 사용 가능, 행동 제한 없음): Apache-2.0, MIT, BSD, CC-BY-4.0 등
- 조건부 허용(검토 후 사용): Llama 커뮤니티 라이선스, Gemma 사용 약관,
OpenRAIL 계열 등 사용 목적·규모 제한이 있는 라이선스
- 금지(비상업 한정 등): CC-BY-NC 데이터셋을 상업 제품에 사용하는 경우 등
3.1.2 정책 인지 절차
준수 방법
정책 문서를 작성하는 것만으로는 부족하다. 프로그램 참여자가 정책의 존재를 실제로 인식하도록 전파 절차를 수립하고 문서화해야 한다. 이 전파 절차 문서 자체가 입증자료 3.1.2다. AI 시스템은 개발자뿐 아니라 데이터 담당, 법무, 보안이 함께 관여하므로, 이들 모두에게 정책이 닿도록 채널을 설계한다.
신규 입사자에게는 온보딩에 AI SBOM 정책 안내를 포함하고, 기존 직원에게는 사내 위키 게시와 이메일 공지를 활용한다. 전파 사실을 증명하기 위해 공지 이력, 교육 이수 기록 등의 증거를 최소 3년간 보관한다.
고려사항
- 복수 채널 활용: 사내 위키, 이메일 공지, 온보딩 교육 등 둘 이상의 채널을 활용한다.
- AI 관여 직무 포함: 데이터셋 담당자와 모델 운영자도 전파 대상에 포함한다.
- 정책 변경 시: 변경 사항을 참여자에게 즉시 공지하는 별도 절차를 둔다.
- 증거 보관: 공지 이력과 교육 이수 확인서를 최소 3년간 보관한다.
샘플
아래는 정책 전파 공지 이메일 샘플이다. 전송 이력을 보관하면 입증자료 3.1.2의 증거가 된다.
제목: [AI 컴플라이언스] AI SBOM 정책 안내 및 숙지 요청
수신: AI 시스템 개발·운영·데이터 관련 임직원
발신: AI 컴플라이언스 담당자
안녕하세요.
당사의 AI SBOM 컴플라이언스 정책이 제정(또는 개정)되었습니다.
AI 모델과 데이터셋을 사용, 도입, 또는 배포하는 업무에 관여하는 모든 임직원은
아래 정책 문서를 확인하고 숙지해 주시기 바랍니다.
- 정책 문서: [사내 포털 링크]
- 주요 내용: 모델·데이터셋 라이선스 분류, 라이선스 의무 검토 절차,
AI SBOM 관리, 투명성 의무 대응
- 정책 버전: v1.0 (시행일: YYYY-MM-DD)
문의: AI 컴플라이언스 담당자(ai-compliance@company.com)
5. 참고
- 라이선스 의무 검토 절차: 3.5 라이선스 의무
- 오픈소스 정책의 기본 구조: ISO/IEC 5230 준수 가이드 — 3.1.1 정책
- AI 라이선스 관리 전략: 기업 오픈소스 관리 가이드 — AI 컴플라이언스
2 - 3.2 역량
AI SBOM 컴플라이언스 프로그램의 역할과 책임을 정의하고, 역할별 역량을 식별해 평가하는 방법을 안내한다.
구축 단계
이 조항은 Phase 1 — 프로그램 기반 단계에서 구축한다. 전체 구축 로드맵 보기
1. 조항 개요
정책(3.1)이 무엇을 해야 하는지 정한다면, 역량은 그 일을 할 수 있는 사람을 보장한다. AI SBOM 컴플라이언스는 코드 라이선스만 다루던 오픈소스 컴플라이언스보다 넓은 지식을 요구한다. 모델 가중치와 데이터셋의 라이선스, 모델 카드 해석, 신흥 AI 규제, 비표준 라이선스의 사용 제한까지 판단해야 한다.
3.2는 프로그램의 성과에 영향을 미치는 역할과 책임을 식별하고, 각 역할에 필요한 역량을 정해 참여자가 그 역량을 갖추도록 보장할 것을 요구한다. 규격은 사용 사례와 관련된 경우 거버넌스, 보안, 안전, 프라이버시, 개발, 공급자 관리 기능의 역량을 갖추도록 명시한다.
2. 해야 할 활동
- 프로그램의 성과에 영향을 미치는 역할과 그 책임을 식별해 문서화한다.
- 각 역할에 필요한 역량(거버넌스, 보안, 안전, 프라이버시, 개발, 공급자 관리)을 정의한다.
- AI 고유 역량(모델·데이터셋 라이선스, 모델 카드 해석, AI 규제)을 역할별 역량에 추가한다.
- 교육, 훈련, 경험을 근거로 참여자가 역량을 갖추도록 한다.
- 역량 평가 증거를 보존하고, 목록을 최신으로 유지하도록 정기 점검한다.
3. 요구사항 및 입증자료
| 조항 번호 | 요구사항 (KO) | 입증자료 |
|---|---|---|
| 3.2 | 프로그램의 수행과 효과성에 영향을 미치는 역할과 책임을 식별하고, 각 역할에 필요한 역량을 정해 참여자가 갖추도록 보장해야 한다. 사용 사례와 관련된 경우 거버넌스·보안·안전·프라이버시·개발·공급자 관리 기능의 역량을 갖춘다. | 3.2.1 참여자별 책임이 명시된, 문서화된 역할 목록 3.2.2 각 역할에 대한 역량을 식별한 문서 3.2.3 참여자별 평가된 역량의 문서화된 증거(목록 최신화를 위한 정기 점검 포함) |
영문 원문 보기
3.2 Competence The organisation shall identify the roles and the corresponding responsibilities of those roles that affect the performance and effectiveness of the program; determine the necessary competence of program participants fulfilling each role (Governance, Security, Safety, Privacy, Development, Supplier management if relevant to the use case); ensure that program participants are competent on the basis of appropriate education, training, and/or experience; and retain appropriate documented information as evidence of competence.
Verification material(s):
- A documented list of roles with corresponding responsibilities for the different participants in the program.
- A document that identifies the competencies for each role.
- Documented evidence of assessed competence for each program participant, with periodic checks to keep the list up-to-date.
4. 입증자료별 준수 방법 및 샘플
3.2.1 역할과 책임 목록
준수 방법
프로그램에 관여하는 역할과 각 역할의 책임을 문서로 정리한다. AI SBOM 프로그램은 일반 오픈소스 역할에 더해 AI 거버넌스와 모델·데이터셋 검토 역할을 포함한다. 책임을 구체적으로 적어야 이후 역량 정의(3.2.2)와 책임 배정(3.8.4)이 명확해진다.
샘플
| 역할 | 책임 |
|------|------|
| AI 거버넌스 책임자 | 프레임워크 승인, 규제 의무 판단, 정기 검토 주관 |
| AI SBOM 검증 담당 | AI SBOM 생성·검토·승인, 인바운드 자재 반영 |
| 라이선스 검토 담당 | 모델·데이터셋·모델 트리 라이선스 의무 판단 |
| 데이터 담당 | 학습·검증 데이터셋 출처와 라이선스 관리 |
3.2.2 역할별 필요 역량
준수 방법
각 역할이 갖춰야 할 역량을 정의한다. 규격이 든 여섯 기능(거버넌스, 보안, 안전, 프라이버시, 개발, 공급자 관리) 가운데 역할과 사용 사례에 해당하는 것을 정하고, AI 고유 역량을 더한다. 예를 들어 라이선스 검토 담당에게는 비표준 라이선스(Llama 커뮤니티, OpenRAIL)의 사용 제한을 해석하는 역량이 필요하다.
샘플
| 역할 | 필요 역량 |
|------|----------|
| AI 거버넌스 책임자 | 거버넌스, AI 규제(EU 인공지능법·한국 AI 기본법) 이해, 위험 관리 |
| AI SBOM 검증 담당 | 개발, SPDX·CycloneDX 형식, 모델 카드 해석, 생성 도구 운영 |
| 라이선스 검토 담당 | 공급자 관리, 오픈소스·비표준 라이선스 해석, 모델 트리 추적 |
| 데이터 담당 | 프라이버시, 데이터셋 라이선스, 출처 관리 |
3.2.3 역량 평가 증거
준수 방법
각 참여자가 역할에 필요한 역량을 실제로 갖췄는지 평가하고 그 증거를 보존한다. 교육 이수, 자격, 실무 경험이 근거가 된다. AI 규제와 라이선스는 빠르게 바뀌므로 목록을 정기적으로 점검해 최신 상태로 유지한다.
고려사항
- 평가 근거 다양화: 교육 이수만이 아니라 실무 산출물(예: 라이선스 검토 기록)도 역량 증거로 활용한다.
- 정기 점검: 신규 규제 시행이나 새 라이선스 유형 등장 시 역량 요건을 재검토한다.
- 공백 보완: 평가에서 역량 공백이 드러나면 교육이나 외부 전문성으로 보완한다(3.8 자원).
샘플 (역량 평가 기록부)
| 참여자(직무) | 역할 | 평가 항목 | 평가 근거 | 결과 | 평가일 |
|-------------|------|----------|----------|------|--------|
| 이OO | AI SBOM 검증 담당 | CycloneDX ML-BOM 작성 | 사내 교육 + 실무 산출물 | 충족 | 2026-03-10 |
| 박OO | 라이선스 검토 담당 | 비표준 라이선스 해석 | OSS 법무 경력 5년 | 충족 | 2026-03-10 |
5. 참고
- 역할에 자원을 붙이는 절차: 3.8 효과적 자원 배분
- 참여자 인지 확보: 3.3 인지
- ISO/IEC 5230 역량 본보기: ISO/IEC 5230 준수 가이드 — 3.1.2 역량
3 - 3.3 인지
프로그램 참여자가 AI SBOM 정책과 목표, 자신의 기여, 부적합의 영향을 인지하도록 보장하는 방법을 안내한다.
구축 단계
이 조항은 Phase 1 — 프로그램 기반 단계에서 구축한다. 전체 구축 로드맵 보기
1. 조항 개요
역량(3.2)이 “할 수 있는가"를 다룬다면, 인지는 “왜 해야 하는지 아는가"를 다룬다. 참여자가 정책의 존재만 아는 것으로는 부족하다. 자신의 일이 프로그램에 어떻게 기여하는지, 지키지 않으면 무슨 일이 생기는지까지 알아야 컴플라이언스가 실제로 작동한다.
3.3은 프로그램 참여자가 네 가지를 인지하도록 보장할 것을 요구한다. AI SBOM 정책, 관련 사업 목표, 프로그램 효과성에 대한 자신의 기여, 그리고 프로그램 요구사항을 따르지 않을 경우의 영향이다. AI 에서는 미준수의 영향이 저작권 분쟁을 넘어 규제 위반과 사용 제한 위반으로 확장되므로, 참여자가 이 점을 분명히 인지하게 한다.
2. 해야 할 활동
- 참여자가 AI SBOM 정책과 그 위치를 알도록 한다.
- 관련 사업 목표(신뢰 확보, 규제 준수, 공급망 요구 충족)를 전달한다.
- 각자의 업무가 프로그램에 어떻게 기여하는지 알린다.
- 미준수의 영향(규제 위반, 계약 해지, 사용 제한 위반)을 알린다.
- 참여자의 인지를 평가하고 그 증거를 보존한다.
3. 요구사항 및 입증자료
| 조항 번호 | 요구사항 (KO) | 입증자료 |
|---|---|---|
| 3.3 | 프로그램 참여자가 AI SBOM 정책, 관련 사업 목표, 프로그램 효과성에 대한 자신의 기여, 요구사항 미준수 시의 영향을 인지하도록 보장해야 한다. | 3.3.1 참여자에 대해 평가된 인지의 문서화된 증거. 프로그램 목표, 자신의 기여, 부적합의 영향을 포함해야 한다 |
영문 원문 보기
3.3 Awareness The organisation shall ensure that the program participants are aware of: the AI SBOM policy; relevant business objectives; their contribution to the effectiveness of the program; and the implications of not following the Program’s requirements.
Verification material(s):
- Documented evidence of assessed awareness for the program participants, which should include: the program’s objectives; one’s contribution within the program; and the implications of program non-conformance.
4. 입증자료별 준수 방법 및 샘플
3.3.1 참여자 인지 평가 증거
준수 방법
참여자가 네 가지 인지 요소를 실제로 이해하는지 평가하고 증거를 남긴다. 정책 전파(3.1.2)가 “알렸다"를 증명한다면, 인지 평가는 “이해했다"를 증명한다. 평가는 교육 후 확인 퀴즈, 인식 확인 서명, 면담 등으로 한다. 규격이 검증 자료에 명시한 세 요소(프로그램 목표, 자신의 기여, 부적합의 영향)가 평가에 빠지지 않도록 한다.
고려사항
- 네 요소 모두 포함: 정책 인지에 더해 목표, 기여, 부적합 영향을 평가 항목에 모두 넣는다. 하나라도 빠지면 인증 심사에서 지적될 수 있다.
- AI 고유 영향 강조: 미준수의 영향에 규제 위반(EU 인공지능법, 한국 AI 기본법)과 비표준 라이선스 사용 제한 위반을 포함한다.
- 역할별 차등: 데이터 담당과 개발자는 각자의 기여가 다르므로 평가 내용을 역할에 맞춘다.
- 증거 보관: 평가 결과와 확인 서명을 보존해 입증자료로 활용한다.
샘플 (인지 평가 기록부)
| 참여자(직무) | 정책 인지 | 목표 인지 | 기여 인지 | 부적합 영향 인지 | 평가 방법 | 평가일 |
|-------------|:--------:|:--------:|:--------:|:---------------:|----------|--------|
| 이OO (개발) | 충족 | 충족 | 충족 | 충족 | 교육 후 확인 | 2026-03-10 |
| 박OO (데이터) | 충족 | 충족 | 충족 | 충족 | 면담 + 서명 | 2026-03-11 |
확인 서명 양식 예시:
본인은 당사의 AI SBOM 컴플라이언스 정책과 프로그램 목표, 본인의 기여, 그리고 미준수 시의
영향(규제 위반·라이선스 사용 제한 위반·계약 해지)을 안내받고 이해하였습니다.
성명: ____ 직무: ____ 서명: ____ 일자: ____
5. 참고
- 정책과 전파 절차: 3.1 정책
- 역할별 역량: 3.2 역량
- ISO/IEC 5230 인식 본보기: ISO/IEC 5230 준수 가이드 — 3.1.3 인식
4 - 3.4 프로그램 범위
AI SBOM 컴플라이언스 프로그램이 적용되는 범위와 한계를 명확히 선언하는 방법을 안내한다.
구축 단계
이 조항은 Phase 1 — 프로그램 기반 단계에서 구축한다. 전체 구축 로드맵 보기
1. 조항 개요
프로그램 범위는 컴플라이언스가 어디까지 적용되는지를 정한다. 범위가 모호하면 어떤 AI 시스템에 SBOM을 만들어야 하는지, 어떤 모델의 라이선스를 검토해야 하는지가 불분명해진다. 범위를 먼저 선언해야 이후의 모든 조항이 적용 대상을 안다.
3.4는 각 프로그램에 대해 적용 범위를 선언할 것을 요구한다. 범위는 조직마다 다를 수 있다. 어떤 조직은 단일 제품 라인을, 어떤 조직은 부서 전체나 조직 전체를 대상으로 삼는다. AI에서는 자체 개발 모델뿐 아니라 외부에서 도입한 모델과 데이터셋, 사내 모델의 외부 공개까지 범위 판단에 들어온다.
2. 해야 할 활동
- 프로그램이 적용되는 대상(외부 배포 AI 시스템, 외부 모델·데이터셋 도입, 사내 모델 공개 등)을 정한다.
- 적용에서 제외하는 대상과 그 근거를 기록한다.
- 범위 진술을 정책 문서의 적용 범위와 일관되게 유지한다.
- 사업 환경 변화에 따라 범위를 정기적으로 검토하고 갱신한다.
3. 요구사항 및 입증자료
| 조항 번호 | 요구사항 (KO) | 입증자료 |
|---|---|---|
| 3.4 | 각 프로그램에 대해 적용되는 범위를 선언해야 한다. | 3.4.1 프로그램의 범위와 한계를 명확히 정의한 성문 진술서 |
영문 원문 보기
3.4 Program scope Different programs may be governed by different levels of scope. For example, a program could govern a single product line, an entire department, or an entire organisation. The scope designation needs to be declared for each program.
Verification material(s):
- A written statement that clearly defines the scope and limits of the program.
4. 입증자료별 준수 방법 및 샘플
3.4.1 프로그램 범위 진술
준수 방법
프로그램의 범위와 한계를 성문으로 진술한다. 무엇이 적용 대상이고 무엇이 제외인지, 제외라면 그 근거가 무엇인지를 분명히 적는다. AI SBOM 프로그램은 적용 대상을 자재 유형과 활동으로 나눠 선언하면 명확하다. 아래 표는 범위를 정리하는 예다.
표 1. AI SBOM 프로그램 범위 선언 예
| 구분 | 적용 여부 | 비고 |
|---|---|---|
| 외부로 배포하는 AI 시스템·모델·서비스 | 적용 | AI SBOM 생성과 라이선스 검토 의무 |
| 외부에서 도입하는 사전학습 모델 | 적용 | 인바운드 자재로 AI SBOM에 반영 |
| 외부에서 도입하는 데이터셋 | 적용 | 라이선스와 출처 검토 |
| 사내 모델의 외부 공개 | 적용 | 공개 라이선스와 투명성 의무 검토 |
| 내부 실험용 모델(외부 미배포) | 조건부 제외 | 별도 검토로 적용 여부 결정 |
고려사항
- 정책과의 일관성: 범위 진술은 3.1 정책의 적용 범위와 어긋나지 않아야 한다.
- 제외의 근거: 제외 대상은 근거를 적는다. 내부 실험용 모델이라도 외부 배포로 전환되면 범위에 들어오므로, 전환 시점의 검토 절차를 둔다. ([본 가이드 권고])
- 정기 검토: 신규 제품 라인이나 새 AI 서비스가 생기면 범위를 갱신한다.
샘플 (범위 진술서)
## AI SBOM 컴플라이언스 프로그램 범위
### 적용 대상
이 프로그램은 회사가 외부로 배포하는 모든 AI 시스템과 모델, 서비스, 그리고 외부에서
도입하는 사전학습 모델과 데이터셋에 적용된다. 사내 모델을 외부에 공개하는 활동도
포함한다.
### 적용 제외
내부 실험·연구 목적으로만 사용하고 외부에 배포하지 않는 모델은 적용에서 제외한다.
다만 외부 배포로 전환될 경우 도입 검토 절차를 거쳐 범위에 포함한다.
### 검토 주기
범위는 사업 환경 변화에 따라 연 1회 이상 검토하고 갱신한다.
5. 참고
- 정책의 적용 범위: 3.1 정책
- 범위 안 자재의 AI SBOM: 3.9 AI SBOM
- ISO/IEC 5230 범위 본보기: ISO/IEC 5230 준수 가이드 — 3.1.4 프로그램 범위