1. 조항 개요

프로그램 범위는 컴플라이언스가 어디까지 적용되는지를 정한다. 범위가 모호하면 어떤 AI 시스템에 SBOM을 만들어야 하는지, 어떤 모델의 라이선스를 검토해야 하는지가 불분명해진다. 범위를 먼저 선언해야 이후의 모든 조항이 적용 대상을 안다.

3.4는 각 프로그램에 대해 적용 범위를 선언할 것을 요구한다. 범위는 조직마다 다를 수 있다. 어떤 조직은 단일 제품 라인을, 어떤 조직은 부서 전체나 조직 전체를 대상으로 삼는다. AI에서는 자체 개발 모델뿐 아니라 외부에서 도입한 모델과 데이터셋, 사내 모델의 외부 공개까지 범위 판단에 들어온다.

2. 해야 할 활동

• 프로그램이 적용되는 대상(외부 배포 AI 시스템, 외부 모델·데이터셋 도입, 사내 모델 공개 등)을 정한다.
• 적용에서 제외하는 대상과 그 근거를 기록한다.
• 범위 진술을 정책 문서의 적용 범위와 일관되게 유지한다.
• 사업 환경 변화에 따라 범위를 정기적으로 검토하고 갱신한다.

3. 요구사항 및 입증자료

4. 입증자료별 준수 방법 및 샘플

3.4.1 프로그램 범위 진술

준수 방법

프로그램의 범위와 한계를 성문으로 진술한다. 무엇이 적용 대상이고 무엇이 제외인지, 제외라면 그 근거가 무엇인지를 분명히 적는다. AI SBOM 프로그램은 적용 대상을 자재 유형과 활동으로 나눠 선언하면 명확하다. 아래 표는 범위를 정리하는 예다.

표 1. AI SBOM 프로그램 범위 선언 예

고려사항

• 정책과의 일관성: 범위 진술은3.1 정책의 적용 범위와 어긋나지 않아야 한다.
• 제외의 근거: 제외 대상은 근거를 적는다. 내부 실험용 모델이라도 외부 배포로 전환되면 범위에 들어오므로, 전환 시점의 검토 절차를 둔다.([본 가이드 권고])
• 정기 검토: 신규 제품 라인이나 새 AI 서비스가 생기면 범위를 갱신한다.

샘플 (범위 진술서)

## AI SBOM 컴플라이언스 프로그램 범위
### 적용 대상
이 프로그램은 회사가 외부로 배포하는 모든 AI 시스템과 모델, 서비스, 그리고 외부에서
도입하는 사전학습 모델과 데이터셋에 적용된다. 사내 모델을 외부에 공개하는 활동도
포함한다.
### 적용 제외
내부 실험·연구 목적으로만 사용하고 외부에 배포하지 않는 모델은 적용에서 제외한다.
다만 외부 배포로 전환될 경우 도입 검토 절차를 거쳐 범위에 포함한다.
### 검토 주기
범위는 사업 환경 변화에 따라 연 1회 이상 검토하고 갱신한다.

5. 참고

• 정책의 적용 범위:3.1 정책
• 범위 안 자재의 AI SBOM:3.9 AI SBOM
• ISO/IEC 5230 범위 본보기:ISO/IEC 5230 준수 가이드 — 3.1.4 프로그램 범위