add: ISO/IEC 42001 오픈소스 관점 가이드 신설 (ko)

- iso42001_guide/ 전체 신설 (10개 페이지)
  - 가이드 메인, 3표준 비교, 컨텍스트·리더십, 기획, 지원, 운영(3개 상세 페이지), 성과평가
- AI SBOM: Fact Sheet 구성 요소 추가, 투명성·CRA 근거 표 추가, ISO 42003 연계 안내
- compare: ISO 42003(개발 중) 비교 열 추가, AI SBOM→ISO 42003 반영 추진 현황 안내
- opensource_for_enterprise/_index.md: 7-ai-compliance 단독 진입점 alert 추가
- Mermaid 다이어그램 3종 변환 (compare, 4-operation, 3-supply-chain)
- en/ 동기화는 별도 이슈로 관리 예정

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

Author: haksungjang

content/ko/guide/.claude/reference/iso-42001.md

@@ -0,0 +1,298 @@
+# ISO/IEC 42001:2023 — AI Management System (AIMS)
+# 핵심 요구사항 요약 (오픈소스 관점)
+
+**출처**: ISO/IEC 42001:2023 (공식 국제 표준, ©ISO)
+**버전**: 1.0 (2023)
+**제정 기관**: ISO/IEC JTC 1/SC 42 (인공지능)
+**용도**: ISO 42001 가이드 작성 시 나침반 — 오픈소스 관리와 교차하는 요구사항 및 통제항목 매핑 기준
+
+> **저작권 고지**: 이 파일은 ISO/IEC 42001:2023의 저작권을 준수하기 위해
+> 원문을 그대로 복사하지 않고 요구사항을 요약·의역한 것이다.
+> 정확한 원문은 ISO 공식 사이트(iso.org)에서 구매할 수 있다.
+
+> **오픈소스 교차 표시**: ★ 는 오픈소스 관리와 직접 교차하는 요구사항을 나타낸다.
+
+---
+
+## 표준 구조 개요
+
+ISO 42001은 ISO/IEC 경영 시스템 표준(Management System Standard, MSS) 공통 구조(Annex SL)를 따른다.
+ISO 9001(품질), ISO 27001(정보보안)과 동일한 §4–§10 구조를 사용한다.
+
+```
+§4 조직 맥락        → AI MS 범위와 이해관계자 파악
+§5 리더십           → AI 정책, 역할·책임
+§6 기획             → AI 리스크·기회, AI 영향 평가
+§7 지원             → 역량, 인식, 문서화
+§8 운영             → AI 시스템 생애주기, 데이터, 외부 AI 조달
+§9 성과 평가        → 모니터링, 내부 감사, 경영 검토
+§10 개선            → 부적합, 시정 조치, 지속 개선
+Annex A             → 통제목표 및 통제항목 (참조용, 선택적 적용)
+```
+
+---
+
+## §4 조직 맥락 (Context of the Organization)
+
+### §4.1 조직과 조직 맥락의 이해
+
+조직은 AI 관리 시스템의 목적과 의도한 결과에 영향을 미치는 내·외부 이슈를 파악해야 한다.
+AI 시스템과 관련된 사회적·윤리적·기술적 맥락을 고려해야 한다.
+
+### §4.2 이해관계자의 필요와 기대 이해
+
+AI 시스템에 관련된 이해관계자(규제기관, 고객, AI 시스템 사용자, 공급망 파트너 등)를 식별하고
+그들의 요구사항과 기대를 파악해야 한다.
+
+### §4.3 AI 관리 시스템 범위 결정
+
+조직은 AI 관리 시스템이 적용될 AI 시스템, 프로세스, 조직 경계를 문서로 정의해야 한다.
+
+### §4.4 AI 관리 시스템
+
+AI 관리 시스템을 수립·구현·유지·지속적으로 개선해야 한다.
+
+---
+
+## §5 리더십 (Leadership)
+
+### §5.1 리더십과 의지표명
+
+최고경영진은 AI 관리 시스템에 대한 리더십과 의지표명을 보여야 한다.
+AI 정책을 수립하고 충분한 자원을 배분해야 한다.
+
+### §5.2 AI 정책 ★
+
+조직은 AI 정책을 수립해야 한다. AI 정책은 다음을 포함해야 한다:
+- 조직의 AI 사용 목적과 원칙
+- AI 관련 법·규정 및 윤리 원칙 준수 의지
+- AI 시스템 생애주기에 걸친 책임 체계
+- 지속적 개선 의지
+
+**★ 오픈소스 교차점**: AI 정책에 오픈소스 AI 프레임워크·모델·데이터셋 사용에 관한
+라이선스 컴플라이언스 원칙을 포함해야 한다.
+
+### §5.3 조직의 역할, 책임, 권한
+
+AI 관리 시스템과 관련된 역할을 정의하고 책임과 권한을 부여해야 한다.
+
+---
+
+## §6 기획 (Planning)
+
+### §6.1 리스크와 기회에 대응하는 조치
+
+#### §6.1.1 일반사항
+
+AI 관리 시스템 기획 시 리스크와 기회를 모두 고려해야 한다.
+
+#### §6.1.2 AI 리스크 평가 ★
+
+조직은 다음을 포함하는 AI 리스크 평가 프로세스를 수립·구현·유지해야 한다:
+- AI 리스크 식별 기준 및 허용 가능한 수준 정의
+- AI 시스템과 관련된 리스크 식별 및 분석
+- 리스크 수준 평가
+
+**★ 오픈소스 교차점**: AI 리스크 평가 시 오픈소스 컴포넌트의 라이선스 리스크(GPL 오염,
+특허 조항 등)와 보안 취약점 리스크(CVE)를 명시적으로 포함해야 한다.
+
+#### §6.1.3 AI 리스크 처리
+
+리스크 처리 옵션(회피, 완화, 전가, 수용)을 선택하고 처리 계획을 수립해야 한다.
+
+#### §6.1.4 AI 시스템 영향 평가 ★
+
+AI 시스템이 개인, 그룹, 사회에 미칠 수 있는 영향을 평가하는 프로세스를 수립해야 한다.
+영향 평가 결과를 문서화하고 주기적으로 재평가해야 한다.
+
+**★ 오픈소스 교차점**: AI 시스템 영향 평가 항목에 사용된 오픈소스 컴포넌트의 라이선스 의무
+이행 여부(특히 저작권 표시, 소스 코드 공개 의무)를 포함할 수 있다.
+
+### §6.2 AI 목표 및 달성 기획
+
+측정 가능한 AI 목표를 수립하고 이를 달성하기 위한 계획(담당자, 일정, 수단, 측정 방법)을
+문서화해야 한다.
+
+---
+
+## §7 지원 (Support)
+
+### §7.1 자원
+
+AI 관리 시스템의 수립·구현·유지·개선에 필요한 자원(인력, 인프라, 환경, 지식 등)을
+파악하고 제공해야 한다.
+
+### §7.2 역량 ★
+
+AI 관리 시스템과 관련된 역할을 수행하는 인원의 필요 역량을 결정하고, 교육·훈련·경험을
+통해 역량을 확보·유지해야 한다.
+
+**★ 오픈소스 교차점**: AI 시스템 개발·운영 인원에게 오픈소스 라이선스 컴플라이언스 및
+보안 취약점 관리 역량이 포함되어야 한다.
+
+### §7.3 인식
+
+AI 관련 역할을 수행하는 인원은 AI 정책, AI 관리 시스템의 목표, 자신의 기여 방법,
+미준수 시 결과 등에 대해 인식하고 있어야 한다.
+
+### §7.4 커뮤니케이션
+
+AI 관리 시스템과 관련하여 내·외부 커뮤니케이션 대상, 내용, 시기, 방법을 결정해야 한다.
+
+### §7.5 문서화된 정보 ★
+
+조직은 다음을 포함하는 문서화된 정보를 수립·유지해야 한다:
+- AI 관리 시스템 운영에 필요한 문서
+- 의도한 결과 달성 신뢰를 위한 기록
+- AI 시스템 관련 의사결정·설계·개발·배포 이력
+
+**★ 오픈소스 교차점**: AI 시스템의 구성 문서(AI SBOM)는 §7.5의 "문서화된 정보"
+요구사항과 직접 연결된다. AI SBOM은 다음을 포함해야 한다:
+- AI 프레임워크 및 라이브러리 목록과 버전
+- 사전 훈련된 모델(Pre-trained model)과 출처
+- 학습 데이터셋과 라이선스
+- 각 구성요소의 라이선스 정보
+
+---
+
+## §8 운영 (Operation)
+
+### §8.1 운영 기획 및 통제
+
+AI 관리 시스템 요구사항을 충족하는 데 필요한 프로세스를 계획·구현·통제·유지해야 한다.
+
+### §8.2 AI 리스크 평가 (운영 시)
+
+계획된 주기나 중요한 변경 발생 시 AI 리스크 평가를 수행해야 한다.
+
+### §8.3 AI 리스크 처리 (운영 시)
+
+리스크 처리 계획을 이행하고 그 결과를 문서화해야 한다.
+
+### §8.4 AI 시스템 영향 평가 (운영 시) ★
+
+AI 시스템의 영향 평가를 수행하고 결과를 이해관계자와 공유해야 한다.
+영향 평가는 AI 시스템의 수명주기 동안 반복적으로 수행해야 한다.
+
+**★ 오픈소스 교차점**: 영향 평가 시 오픈소스 컴포넌트의 알려진 취약점(CVE)이
+AI 시스템 전체 보안에 미치는 영향을 포함한다.
+
+### §8.5 AI 시스템 생애주기 ★
+
+AI 시스템의 설계, 개발, 검증, 배포 각 단계에서 요구사항을 수립·이행해야 한다.
+각 단계의 산출물과 의사결정을 문서화해야 한다.
+
+**★ 오픈소스 교차점**: AI 시스템 개발 단계에서 사용하는 오픈소스 프레임워크
+(예: PyTorch, TensorFlow, Hugging Face)에 대한 라이선스 컴플라이언스 확인이 필요하다:
+- 사용 프레임워크의 라이선스 확인 (Apache 2.0, MIT, GPL 등)
+- 라이선스 의무(고지문, 소스 공개 등) 이행
+- SBOM에 프레임워크 포함
+
+### §8.6 AI 시스템을 위한 데이터 ★
+
+AI 시스템 개발에 사용되는 데이터는 다음 측면에서 관리해야 한다:
+- 데이터 품질(완전성, 대표성, 편향 등)
+- 데이터 출처 및 수집 방법
+- 데이터 처리·저장·보호 방법
+- 개인정보 및 지식재산권 준수
+
+**★ 오픈소스 교차점**: 학습 데이터셋에 오픈 데이터 또는 크리에이티브 커먼즈 라이선스
+데이터가 포함된 경우, 해당 라이선스 조건(저작자 표시, 동일 조건 변경 허락 등)을
+준수해야 한다. AI SBOM에 데이터셋과 라이선스를 포함한다.
+
+### §8.7 AI 시스템의 피드백 인터페이스
+
+AI 시스템 사용자가 피드백, 우려사항, 이의를 제기할 수 있는 메커니즘을 마련해야 한다.
+
+### §8.8 외부 당사자가 공급하는 AI 시스템 사용 ★
+
+외부에서 조달한 AI 시스템(모델, API, 서비스 포함)을 사용할 때의 요구사항:
+- 외부 AI 시스템에 대한 평가 및 검토 프로세스
+- 외부 공급자의 AI 관리 수준 확인
+- 외부 AI 시스템 사용 관련 책임 명확화
+
+**★ 오픈소스 교차점**: 외부 오픈소스 AI 모델(예: Llama, Mistral, Falcon 등) 또는
+오픈소스 AI 플랫폼을 조달·사용할 때:
+- 모델 라이선스 확인 (Community License, Apache 2.0, CC-BY 등)
+- 상업적 사용 가능 여부 및 조건 확인
+- AI 공급망 SBOM에 외부 모델 포함
+
+---
+
+## §9 성과 평가 (Performance Evaluation)
+
+### §9.1 모니터링, 측정, 분석 및 평가 ★
+
+AI 관리 시스템의 성과를 모니터링하고 측정해야 한다.
+모니터링 대상, 방법, 주기, 결과 분석 방법을 결정해야 한다.
+
+**★ 오픈소스 교차점**: 성과 지표에 오픈소스 컴플라이언스 지표(SBOM 최신화율,
+취약점 패치율, 라이선스 위반 건수 등)를 포함할 수 있다.
+
+### §9.2 내부 감사
+
+AI 관리 시스템이 요구사항을 충족하는지 확인하기 위한 내부 감사 프로그램을
+계획·실행·보고·결과 보존해야 한다.
+
+### §9.3 경영 검토
+
+최고경영진은 주기적으로 AI 관리 시스템을 검토하여 지속적 적합성·적절성·효과성을
+확인해야 한다.
+
+---
+
+## §10 개선 (Improvement)
+
+### §10.1 부적합 및 시정 조치
+
+부적합 발생 시 즉각 조치, 근본 원인 분석, 시정 조치를 수행하고 결과를 문서화해야 한다.
+
+### §10.2 지속적 개선
+
+AI 관리 시스템의 적합성·적절성·효과성을 지속적으로 개선해야 한다.
+
+---
+
+## Annex A 통제항목 요약 (오픈소스 교차 항목 중심)
+
+Annex A는 ISO 42001이 참조하는 통제목표와 통제항목을 제공한다.
+ISO 27001의 Annex A와 유사한 구조이며, 조직이 선택적으로 적용한다.
+
+| 통제 영역 | 오픈소스 관련성 | 해당 가이드 섹션 |
+|-----------|----------------|----------------|
+| **A.2 AI 관련 정책** | AI 정책에 OSS 사용 원칙 포함 | 1-context-leadership |
+| **A.4 AI 시스템 자원** | OSS 프레임워크 선택 기준 | 2-planning |
+| **A.5 AI 시스템 영향 평가** | OSS 취약점의 AI 시스템 영향 | 2-planning |
+| **A.6 AI 시스템 생애주기** | 개발 시 OSS 컴플라이언스 | 4-operation/1-oss-in-ai |
+| **A.7 AI 시스템을 위한 데이터** | 오픈 데이터셋 라이선스 | 4-operation/1-oss-in-ai |
+| **A.8 이해관계자를 위한 정보** | AI SBOM 투명성 공개 | 4-operation/2-ai-sbom |
+| **A.9 제3자 AI 시스템 사용** | 외부 OSS 모델 조달 검증 | 4-operation/3-supply-chain |
+
+---
+
+## ISO 5230 / ISO 18974 / ISO 42001 관계 요약
+
+| 비교 항목 | ISO 5230 | ISO 18974 | ISO 42001 |
+|-----------|----------|-----------|-----------|
+| **대상** | 오픈소스 라이선스 | 오픈소스 보안 | AI 시스템 전체 |
+| **관리 대상** | 소프트웨어 공급망 | 오픈소스 취약점 | AI 시스템 생애주기 |
+| **입증자료** | 25개 명시 | 25개 명시 | 없음 (shall 요구사항) |
+| **자체 인증** | OpenChain 체크리스트 | OpenChain 체크리스트 | 자체 갭 분석 (도구 없음) |
+| **오픈소스 관련성** | 직접 (전체) | 직접 (전체) | 교차 (일부 조항) |
+| **교차 조항** | — | — | §5.2, §6.1.2, §7.5, §8.5, §8.6, §8.8 |
+
+---
+
+## 오픈소스 교차 요구사항 빠른 참조
+
+| ISO 42001 조항 | 오픈소스 교차 내용 | 대응 ISO 5230/18974 |
+|----------------|-------------------|---------------------|
+| §5.2 AI 정책 | OSS 사용 정책 포함 | ISO 5230 §3.1.1 |
+| §6.1.2 AI 리스크 평가 | OSS 라이선스·취약점 리스크 | ISO 18974 §4.3.2 |
+| §6.1.4 AI 영향 평가 | OSS 컴포넌트 영향 | ISO 18974 §4.1.5 |
+| §7.2 역량 | OSS 컴플라이언스 역량 | ISO 5230 §3.1.2 |
+| §7.5 문서화 | AI SBOM | ISO 5230 §3.3.1 / ISO 18974 §4.3.1 |
+| §8.5 AI 생애주기 | OSS 프레임워크 컴플라이언스 | ISO 5230 §3.3 |
+| §8.6 AI 데이터 | 오픈 데이터셋 라이선스 | ISO 5230 §3.3.2 |
+| §8.8 외부 AI 조달 | OSS 모델 공급망 검증 | ISO 5230 §3.3, ISO 18974 §4.3.2 |
+| §9.1 성과 평가 | OSS 컴플라이언스 지표 | ISO 5230 §3.6 |

content/ko/guide/CLAUDE.md

@@ -2,14 +2,24 @@
 
 ## 목적
 이 디렉토리의 가이드를 2026년 기준으로 개선한다.
-ISO/IEC 5230(오픈소스 컴플라이언스)과 ISO/IEC 18974(보안 보증) 두 표준을 기반으로 한다.
+ISO/IEC 5230(오픈소스 컴플라이언스), ISO/IEC 18974(보안 보증), ISO/IEC 42001(AI 관리 시스템) 세 표준을 기반으로 한다.
 작업 브랜치: guide/2026-enterprise-oss-guide
 
 ## 디렉토리 구조
-- opensource_for_enterprise/ : 메인 가이드 (6개 섹션)
+- opensource_for_enterprise/ : 메인 가이드 (7개 섹션, 7번째는 AI 컴플라이언스)
+- iso5230_guide/              : ISO/IEC 5230 준수 가이드 (조항별 상세)
+- iso18974_guide/             : ISO/IEC 18974 준수 가이드 (조항별 상세)
+- iso42001_guide/             : ISO/IEC 42001 가이드 (오픈소스 관점, 2026 신설)
 - templates/1-policy/        : 오픈소스 정책 템플릿
 - templates/2-process-template/ : 오픈소스 프로세스 템플릿
-- tools/                     : 도구 페이지 (fossology, sw360, fosslight, osvscalibr)
+- tools/                     : 도구 페이지 (fossology, sw360, fosslight, osvscalibr 등)
+
+## ISO 42001 가이드 특성
+- 포지셔닝: "오픈소스 관점의 ISO 42001" — ISO 42001 전체가 아닌 오픈소스 교차 요구사항 중심
+- 입증자료 번호 체계 없음 (ISO 5230/18974와 달리 shall 요구사항 방식)
+- "체크포인트" 형태로 준수 여부 안내
+- reference 파일: `.claude/reference/iso-42001.md` (요구사항 요약, 저작권 준수 의역)
+- 오픈소스 교차 조항: §5.2, §6.1.2, §6.1.4, §7.2, §7.5, §8.5, §8.6, §8.8, §9.1
 
 ## 작업 원칙
 1. 파일 수정 전 반드시 변경 내용을 diff 형식으로 먼저 제안한다