3.3 인지

1. 조항 개요

역량(3.2)이 “할 수 있는가"를 다룬다면, 인지는 “왜 해야 하는지 아는가"를 다룬다. 참여자가 정책의 존재만 아는 것으로는 부족하다. 자신의 일이 프로그램에 어떻게 기여하는지, 지키지 않으면 무슨 일이 생기는지까지 알아야 컴플라이언스가 실제로 작동한다.

3.3은 프로그램 참여자가 네 가지를 인지하도록 보장할 것을 요구한다. AI SBOM 정책, 관련 사업 목표, 프로그램 효과성에 대한 자신의 기여, 그리고 프로그램 요구사항을 따르지 않을 경우의 영향이다. AI 에서는 미준수의 영향이 저작권 분쟁을 넘어 규제 위반과 사용 제한 위반으로 확장되므로, 참여자가 이 점을 분명히 인지하게 한다.

2. 해야 할 활동

• 참여자가 AI SBOM 정책과 그 위치를 알도록 한다.
• 관련 사업 목표(신뢰 확보, 규제 준수, 공급망 요구 충족)를 전달한다.
• 각자의 업무가 프로그램에 어떻게 기여하는지 알린다.
• 미준수의 영향(규제 위반, 계약 해지, 사용 제한 위반)을 알린다.
• 참여자의 인지를 평가하고 그 증거를 보존한다.

3. 요구사항 및 입증자료

4. 입증자료별 준수 방법 및 샘플

3.3.1 참여자 인지 평가 증거

준수 방법

참여자가 네 가지 인지 요소를 실제로 이해하는지 평가하고 증거를 남긴다. 정책 전파(3.1.2)가 “알렸다"를 증명한다면, 인지 평가는 “이해했다"를 증명한다. 평가는 교육 후 확인 퀴즈, 인식 확인 서명, 면담 등으로 한다. 규격이 검증 자료에 명시한 세 요소(프로그램 목표, 자신의 기여, 부적합의 영향)가 평가에 빠지지 않도록 한다.

고려사항

• 네 요소 모두 포함: 정책 인지에 더해 목표, 기여, 부적합 영향을 평가 항목에 모두 넣는다. 하나라도 빠지면 인증 심사에서 지적될 수 있다.
• AI 고유 영향 강조: 미준수의 영향에 규제 위반(EU 인공지능법, 한국 AI 기본법)과 비표준 라이선스 사용 제한 위반을 포함한다.
• 역할별 차등: 데이터 담당과 개발자는 각자의 기여가 다르므로 평가 내용을 역할에 맞춘다.
• 증거 보관: 평가 결과와 확인 서명을 보존해 입증자료로 활용한다.

샘플 (인지 평가 기록부)

| 참여자(직무) | 정책 인지 | 목표 인지 | 기여 인지 | 부적합 영향 인지 | 평가 방법 | 평가일 |
|-------------|:--------:|:--------:|:--------:|:---------------:|----------|--------|
| 이OO (개발) | 충족 | 충족 | 충족 | 충족 | 교육 후 확인 | 2026-03-10 |
| 박OO (데이터) | 충족 | 충족 | 충족 | 충족 | 면담 + 서명 | 2026-03-11 |

확인 서명 양식 예시:

본인은 당사의 AI SBOM 컴플라이언스 정책과 프로그램 목표, 본인의 기여, 그리고 미준수 시의
영향(규제 위반·라이선스 사용 제한 위반·계약 해지)을 안내받고 이해하였습니다.

성명: ____  직무: ____  서명: ____  일자: ____

5. 참고

• 정책과 전파 절차: 3.1 정책
• 역할별 역량: 3.2 역량
• ISO/IEC 5230 인식 본보기: ISO/IEC 5230 준수 가이드 — 3.1.3 인식