# 올윈 AI SI 보안 질문서

- 문서 코드: SEC-02
- 버전: 0.1
- 발행일: 2026-07-18
- 재검토 예정일: 2026-10-18
- 상태: 비구속 공개 검토본

## 작성 방법

각 질문에 `예 / 아니오 / 일부 / 해당 없음 / 확인 필요`로 답하고, 범위·근거·담당자·개선 기한을 함께 기록합니다. 공개 사이트에 관한 답변을 고객 프로젝트에 그대로 적용하지 않습니다.

## 1. 조직·접근·개발

| 질문 | 답변 | 적용 범위 | 근거 | 담당자·기한 |
|---|---|---|---|---|
| 관리자와 참여자의 역할이 분리되어 있는가? |  |  |  |  |
| 접근권한을 정기 검토하고 종료 시 회수하는가? |  |  |  |  |
| 관리자 MFA·SSO·비상 접근 절차가 있는가? |  |  |  |  |
| 개발·시험·운영 환경과 데이터를 분리하는가? |  |  |  |  |
| 코드 리뷰·비밀정보 검사·취약점 조치 기준이 있는가? |  |  |  |  |
| 오픈소스·모델·프롬프트 변경 이력을 관리하는가? |  |  |  |  |

## 2. AI·RAG·에이전트 통제

| 질문 | 답변 | 적용 범위 | 근거 | 담당자·기한 |
|---|---|---|---|---|
| 프롬프트 인젝션과 비정상 입력을 시험하는가? |  |  |  |  |
| 문서 ACL이 검색 결과와 답변에도 유지되는가? |  |  |  |  |
| 근거 없는 답변을 거절·경고·사람 승인으로 전환하는가? |  |  |  |  |
| 에이전트 도구가 허용 목록과 최소권한으로 제한되는가? |  |  |  |  |
| 도구 실행의 입력·결과·승인자를 감사할 수 있는가? |  |  |  |  |
| 모델·프롬프트·검색 설정 변경 전 회귀평가를 수행하는가? |  |  |  |  |
| 고객 데이터가 모델 학습에 사용되지 않음을 확인했는가? |  |  |  |  |

## 3. 데이터·로그·비밀정보

| 질문 | 답변 | 적용 범위 | 근거 | 담당자·기한 |
|---|---|---|---|---|
| 데이터 등급과 허용·금지 입력이 정의되어 있는가? |  |  |  |  |
| 원문·임베딩·프롬프트·응답·로그 위치가 문서화되어 있는가? |  |  |  |  |
| 전송·저장 암호화와 키 소유자가 정해져 있는가? |  |  |  |  |
| 로그에서 개인정보와 비밀정보를 최소화하는가? |  |  |  |  |
| 보유기간 종료와 계약 종료 시 삭제를 확인할 수 있는가? |  |  |  |  |

## 4. 운영·사고·복구

| 질문 | 답변 | 적용 범위 | 근거 | 담당자·기한 |
|---|---|---|---|---|
| 보안 이벤트를 탐지·분류·고객에게 통지하는 경로가 있는가? |  |  |  |  |
| 백업 범위·복구 목표·복구 시험 기록이 있는가? |  |  |  |  |
| 취약점 신고·긴급 패치·변경 승인 절차가 있는가? |  |  |  |  |
| 공급자 장애와 계약 종료 시 서비스·데이터 이관 계획이 있는가? |  |  |  |  |

## 5. 판정

- 치명적 미충족 항목:
- 조건부 승인 항목과 완료 기한:
- 승인자:
- 승인 범위·유효기간:
- 재검토 트리거:

최신 웹 문서: `/trust/documents/security-questionnaire`
