이 조항은 Phase 1 — 프로그램 기반 단계에서 구축한다. 전체 구축 로드맵 보기
1. 조항 개요
프로그램 범위는 컴플라이언스가 어디까지 적용되는지를 정한다. 범위가 모호하면 어떤 AI 시스템에 SBOM을 만들어야 하는지, 어떤 모델의 라이선스를 검토해야 하는지가 불분명해진다. 범위를 먼저 선언해야 이후의 모든 조항이 적용 대상을 안다.
3.4는 각 프로그램에 대해 적용 범위를 선언할 것을 요구한다. 범위는 조직마다 다를 수 있다. 어떤 조직은 단일 제품 라인을, 어떤 조직은 부서 전체나 조직 전체를 대상으로 삼는다. AI에서는 자체 개발 모델뿐 아니라 외부에서 도입한 모델과 데이터셋, 사내 모델의 외부 공개까지 범위 판단에 들어온다.
2. 해야 할 활동
- 프로그램이 적용되는 대상(외부 배포 AI 시스템, 외부 모델·데이터셋 도입, 사내 모델 공개 등)을 정한다.
- 적용에서 제외하는 대상과 그 근거를 기록한다.
- 범위 진술을 정책 문서의 적용 범위와 일관되게 유지한다.
- 사업 환경 변화에 따라 범위를 정기적으로 검토하고 갱신한다.
3. 요구사항 및 입증자료
| 조항 번호 | 요구사항 (KO) | 입증자료 |
|---|---|---|
| 3.4 | 각 프로그램에 대해 적용되는 범위를 선언해야 한다. | 3.4.1 프로그램의 범위와 한계를 명확히 정의한 성문 진술서 |
영문 원문 보기
3.4 Program scope Different programs may be governed by different levels of scope. For example, a program could govern a single product line, an entire department, or an entire organisation. The scope designation needs to be declared for each program.
Verification material(s):
- A written statement that clearly defines the scope and limits of the program.
4. 입증자료별 준수 방법 및 샘플
3.4.1 프로그램 범위 진술
준수 방법
프로그램의 범위와 한계를 성문으로 진술한다. 무엇이 적용 대상이고 무엇이 제외인지, 제외라면 그 근거가 무엇인지를 분명히 적는다. AI SBOM 프로그램은 적용 대상을 자재 유형과 활동으로 나눠 선언하면 명확하다. 아래 표는 범위를 정리하는 예다.
표 1. AI SBOM 프로그램 범위 선언 예
| 구분 | 적용 여부 | 비고 |
|---|---|---|
| 외부로 배포하는 AI 시스템·모델·서비스 | 적용 | AI SBOM 생성과 라이선스 검토 의무 |
| 외부에서 도입하는 사전학습 모델 | 적용 | 인바운드 자재로 AI SBOM에 반영 |
| 외부에서 도입하는 데이터셋 | 적용 | 라이선스와 출처 검토 |
| 사내 모델의 외부 공개 | 적용 | 공개 라이선스와 투명성 의무 검토 |
| 내부 실험용 모델(외부 미배포) | 조건부 제외 | 별도 검토로 적용 여부 결정 |
고려사항
- 정책과의 일관성: 범위 진술은 3.1 정책의 적용 범위와 어긋나지 않아야 한다.
- 제외의 근거: 제외 대상은 근거를 적는다. 내부 실험용 모델이라도 외부 배포로 전환되면 범위에 들어오므로, 전환 시점의 검토 절차를 둔다. ([본 가이드 권고])
- 정기 검토: 신규 제품 라인이나 새 AI 서비스가 생기면 범위를 갱신한다.
샘플 (범위 진술서)
## AI SBOM 컴플라이언스 프로그램 범위
### 적용 대상
이 프로그램은 회사가 외부로 배포하는 모든 AI 시스템과 모델, 서비스, 그리고 외부에서
도입하는 사전학습 모델과 데이터셋에 적용된다. 사내 모델을 외부에 공개하는 활동도
포함한다.
### 적용 제외
내부 실험·연구 목적으로만 사용하고 외부에 배포하지 않는 모델은 적용에서 제외한다.
다만 외부 배포로 전환될 경우 도입 검토 절차를 거쳐 범위에 포함한다.
### 검토 주기
범위는 사업 환경 변화에 따라 연 1회 이상 검토하고 갱신한다.
5. 참고
- 정책의 적용 범위: 3.1 정책
- 범위 안 자재의 AI SBOM: 3.9 AI SBOM
- ISO/IEC 5230 범위 본보기: ISO/IEC 5230 준수 가이드 — 3.1.4 프로그램 범위