Merge pull request #255 from OpenChain-Project/guide/iso-compliance-guides

docs(guide): ISO/IEC 5230 준수 가이드 전체 조항 페이지 추가

Author: haksungjang

content/ko/guide/TODO.md

@@ -55,4 +55,35 @@ draft: true
 - [x] #22 4-tool에 Dependency-Track 소개 및 링크 추가
 - [x] #23 4-tool에 cdxgen 소개 및 링크 추가
 - [x] #24 4-tool에 Syft 소개 및 링크 추가
+
+---
+## iso5230_guide 작성 작업 (브랜치: guide/iso-compliance-guides)
+
+### 루트
+- [x] _index.md (가이드 소개 / 체크리스트 / 인증 절차)
+
+### §3.1 프로그램 기반
+- [x] 1-policy/_index.md (§3.1.1 정책)
+- [x] 2-competence/_index.md (§3.1.2 역량)
+- [x] 3-awareness/_index.md (§3.1.3 인식)
+- [x] 4-scope/_index.md (§3.1.4 프로그램 범위)
+- [x] 5-license-obligations/_index.md (§3.1.5 라이선스 의무)
+
+### §3.2 관련 업무
+- [x] 1-access/_index.md (§3.2.1 외부 문의 대응)
+- [x] 2-resourced/_index.md (§3.2.2 효과적 리소스)
+
+### §3.3 콘텐츠 검토 및 승인
+- [x] 1-sbom/_index.md (§3.3.1 SBOM)
+- [x] 2-license-compliance/_index.md (§3.3.2 라이선스 컴플라이언스)
+
+### §3.4 컴플라이언스 산출물
+- [x] 1-compliance-artifacts/_index.md (§3.4.1 산출물)
+
+### §3.5 커뮤니티 참여
+- [x] 1-contributions/_index.md (§3.5.1 기여)
+
+### §3.6 규격 준수
+- [x] 1-conformance/_index.md (§3.6.1 적합성)
+- [x] 2-duration/_index.md (§3.6.2 지속 기간)
 ---

content/ko/guide/archive/_index.md

@@ -1,6 +1,6 @@
 ---
-title: "아카이브"
-linkTitle: "아카이브"
+title: "Archive"
+linkTitle: "Archive"
 weight: 900
 type: docs
 description: >

content/ko/guide/iso5230_guide/1-program-foundation/1-policy/_index.md

@@ -0,0 +1,179 @@
+---
+title: "§3.1.1 정책"
+weight: 10
+type: docs
+categories: ["guide"]
+tags: ["ISO/IEC 5230", "정책"]
+description: >
+---
+
+## 1. 조항 개요
+
+오픈소스 정책이 없는 기업은 개발자가 오픈소스 라이선스 의무를 인지하지 못한 채
+소프트웨어를 배포하게 되며, 이는 저작권 침해 소송, 소스코드 강제 공개, 거래처 계약
+해지 등 심각한 법적·사업적 위험으로 이어질 수 있다. §3.1.1은 이러한 위험을 예방하기
+위해 오픈소스 라이선스 컴플라이언스를 관리하는 문서화된 정책을 수립하고, 조직 내
+모든 프로그램 참여자가 정책의 존재를 인식할 수 있도록 전파할 것을 요구한다. 이 조항은
+ISO/IEC 5230 프로그램 전체의 기반이 되며, 이후 모든 조항(역량·프로세스·산출물 등)은
+이 정책 위에서 작동한다.
+
+## 2. 해야 할 활동
+
+- 오픈소스 라이선스 컴플라이언스를 관리하는 정책 문서를 작성하고 공식화한다.
+- 정책에 적용 범위(외부 배포 소프트웨어, 기여 활동, 사내 공개 등)를 명확히 정의한다.
+- 정책 내에 오픈소스 사용·기여·배포·SBOM 관리·보안 취약점 대응 원칙을 포함한다.
+- 프로그램 참여자(개발자·법무·IT·보안 등)에게 정책을 전파하는 절차를 수립하고 문서화한다.
+- 전파 사실을 증명할 수 있는 기록(교육 이수, 공지 이력 등)을 보관한다.
+- 정기적으로 정책을 검토하고 변경 시 재전파하는 절차를 정책 내에 포함한다.
+
+## 3. 요구사항 및 입증자료
+
+| 조항 번호 | 요구사항 (KO) | 입증자료 |
+|-----------|--------------|---------|
+| §3.1.1 | 공급 소프트웨어의 오픈소스 라이선스 컴플라이언스를 관리하는 문서화된 오픈소스 정책이 있어야 한다. 이 정책은 조직 내부에 전파되어야 한다. | **3.1.1.1** 문서화된 오픈소스 정책<br>**3.1.1.2** 프로그램 참여자가 오픈소스 정책의 존재를 알 수 있게 하는 문서화된 절차 (교육, 내부 위키, 혹은 기타 실질적인 전달 방법 등) |
+
+<details><summary>영문 원문 보기</summary>
+
+> **§3.1.1 Policy**
+> A written open source policy shall exist that governs open source license compliance
+> of the supplied software. The policy shall be internally communicated.
+>
+> **Verification Material(s):**
+> 3.1.1.1 A documented open source policy.
+> 3.1.1.2 A documented procedure that makes program participants aware of the existence
+> of the open source policy (e.g., via training, internal wiki, or other practical
+> communication method).
+
+</details>
+
+## 4. 입증자료별 준수 방법 및 샘플
+
+### 3.1.1.1 문서화된 오픈소스 정책
+
+**준수 방법**
+
+오픈소스 정책은 기업이 오픈소스 소프트웨어를 안전하고 효과적으로 활용하기 위한
+원칙과 절차를 담은 공식 문서다. 정책 문서에는 목적, 적용 범위, 역할과 책임,
+오픈소스 사용·기여·배포 원칙, SBOM 관리, 보안 취약점 대응, 교육 및 검토 주기 등
+핵심 항목이 포함되어야 한다. 이 문서 자체가 입증자료 3.1.1.1에 해당하므로 반드시
+공식 문서로 관리해야 하며, 버전과 승인 이력을 기록해야 한다.
+
+정책 수립 시에는 회사의 비즈니스 환경과 소프트웨어 공급망 특성을 반영해야 한다.
+예를 들어 외부에 소프트웨어를 배포하는 제품 기업과 서비스 기업은 컴플라이언스 산출물
+생성 의무 범위가 다를 수 있으므로, 적용 범위를 명확하게 정의한다. 정책은 법무팀 또는
+OSRB(Open Source Review Board)의 검토를 거쳐 최고 경영진 또는 권한 있는 부서장이
+승인하는 절차를 거쳐야 한다.
+
+정책은 한 번 수립한 뒤 방치하는 문서가 아니다. ISO/IEC 5230 요구사항 변경, 새로운
+라이선스 유형의 등장, 법적 환경 변화 등을 반영하여 최소 연 1회 정기 검토를 실시하고,
+변경 이력을 문서에 기록해야 한다.
+
+**고려사항**
+
+- **포함 항목**: 오픈소스 사용, 외부 기여, 사내 프로젝트 공개, SBOM 관리,
+  보안 취약점 대응 원칙을 정책에 모두 포함한다.
+- **적용 범위 명시**: 외부 배포 소프트웨어, 내부 사용 소프트웨어, 기여 활동 등
+  정책이 적용되는 범위를 명확하게 구분한다.
+- **승인 절차**: OSRB 또는 법무팀장 이상이 최종 승인하고, 승인 날짜와 승인자를
+  문서에 기록한다.
+- **버전 관리**: 문서 버전 번호와 변경 이력을 유지하여 감사 시 이전 버전과
+  비교할 수 있도록 한다.
+- **정기 검토**: 연 1회 이상 정책을 검토하며, 검토 완료 날짜와 검토자를 기록한다.
+
+**샘플**
+
+아래는 오픈소스 정책 문서의 목적 및 적용 범위 샘플이다. 이 텍스트 자체가
+입증자료 3.1.1.1(문서화된 오픈소스 정책)의 핵심 구성 요소가 된다.
+
+```
+## 1. 목적 및 적용 범위
+
+### 1.1 목적
+
+이 정책은 회사가 오픈소스 소프트웨어를 안전하고 효과적으로 활용하기 위한 원칙과
+절차를 제공합니다. 정책의 주요 목적은 다음과 같습니다:
+
+1. 오픈소스 라이선스 컴플라이언스:
+   공급 소프트웨어에 포함된 오픈소스 컴포넌트의 라이선스 의무를 준수하고,
+   관련 법적 요구사항을 충족합니다.
+2. 오픈소스 보안 보증:
+   공급 소프트웨어에 포함된 오픈소스 컴포넌트의 보안 취약점을 식별하고,
+   적절한 대응 조치를 통해 보안 위험을 최소화합니다.
+
+이러한 원칙은 ISO/IEC 5230(오픈소스 라이선스 컴플라이언스) 및
+ISO/IEC 18974(오픈소스 보안 보증)의 요구사항을 충족하도록 설계되었습니다.
+
+### 1.4 적용 범위
+
+이 정책은 회사가 개발, 배포, 또는 사용하는 모든 소프트웨어 프로젝트에 적용됩니다.
+
+- 외부로 제공하거나 배포하는 모든 공급 소프트웨어.
+- 외부 오픈소스 프로젝트에 기여하는 활동.
+- 내부 프로젝트를 오픈소스로 공개하는 활동.
+
+단, 내부 사용 목적으로만 사용되는 오픈소스는 별도의 검토 절차를 통해
+정책 적용 여부를 결정할 수 있습니다.
+
+정책의 적용 범위는 회사의 비즈니스 환경 변화에 따라 정기적으로 검토되고 갱신됩니다.
+```
+
+---
+
+### 3.1.1.2 정책 인식 방법 문서화
+
+**준수 방법**
+
+정책 문서를 작성하는 것만으로는 부족하다. 프로그램 참여자(소프트웨어 개발·배포·기여에
+관여하는 모든 직원)가 정책의 존재를 실제로 인식할 수 있도록 전파 절차를 수립하고
+문서화해야 한다. 전파 절차 문서에는 어떤 채널을 통해, 언제, 누구에게 정책을 전달하는지
+구체적으로 명시해야 한다. 이 전파 절차 문서 자체가 입증자료 3.1.1.2다.
+
+전파 방법은 복수의 채널을 조합하는 것이 효과적이다. 신규 입사자에게는 온보딩 과정에
+오픈소스 정책 안내를 포함하고, 기존 직원에게는 사내 위키 게시와 이메일 공지를
+활용한다. 정책 변경 시에는 변경 내용을 즉시 공지하는 절차도 포함해야 한다. 전파
+사실을 증명하기 위해 공지 발송 이력, 교육 이수 기록, 정책 인식 확인 서명 등의 증거를
+최소 3년간 보관한다.
+
+**고려사항**
+
+- **복수 채널 활용**: 사내 위키, 이메일 공지, 온보딩 교육 등 둘 이상의 채널을
+  활용하여 전파 효과를 높인다.
+- **신규 입사자**: 온보딩 프로세스에 오픈소스 정책 안내를 필수 항목으로 포함한다.
+- **정책 변경 시**: 변경 사항을 프로그램 참여자에게 즉시 공지하는 별도 절차를 수립한다.
+- **증거 보관**: 공지 이력, 교육 이수 확인서, 정책 인식 확인 서명을 최소 3년간 보관한다.
+- **접근성**: 정책 문서를 사내 포털이나 위키에 항시 게시하여 참여자가 언제든
+  확인할 수 있도록 한다.
+
+**샘플**
+
+아래는 정책 전파 공지 이메일 샘플이다. 전송 이력을 보관하면 입증자료 3.1.1.2의
+증거로 활용할 수 있다.
+
+```
+제목: [오픈소스] 오픈소스 정책 안내 및 숙지 요청
+
+수신: 전체 개발/배포 관련 임직원
+발신: 오픈소스 프로그램 매니저
+
+안녕하세요.
+
+당사의 오픈소스 정책이 제정(또는 개정)되었습니다.
+오픈소스 소프트웨어를 사용, 기여, 또는 배포하는 업무에 관여하는
+모든 임직원은 아래 링크의 정책 문서를 확인하고 숙지해 주시기 바랍니다.
+
+- 정책 문서: [사내 포털 링크]
+- 주요 내용: 오픈소스 사용 원칙, 라이선스 컴플라이언스 절차,
+             SBOM 관리, 보안 취약점 대응 원칙
+- 정책 버전: v1.0 (시행일: YYYY-MM-DD)
+
+정책 내용에 대한 문의는 오픈소스 프로그램 매니저(oss@company.com)에게
+연락해 주십시오.
+
+감사합니다.
+오픈소스 프로그램 매니저
+```
+
+## 5. 참고
+
+- 관련 가이드: [기업 오픈소스 관리 가이드 — 2. 정책](../../../opensource_for_enterprise/2-policy/)
+- 관련 템플릿: [오픈소스 정책 템플릿](../../../templates/1-policy/)