Vikten av klarspråk – frågan om verbet shall
Många som arbetar med informationssäkerhet hanterar ISO/IEC standarden 27001 som en helig skrift. I 27001-standarden och dess bilagor finns stödjande material för implementering av ett ledningssystem i informationssäkerhet i en organisation av valfri storlek i valfri sektor. En viktig del i arbetet med ett sådant ledningssystem fastställs i krav 7.3 Medvetenhet [1]. Kravet innebär att alla personer i organisationen ska ha kunskap om, förstå och kunna arbeta utefter ledningssystemets policys, standarder och andra styrdokument. Både policys och standarder brukar skrivas som krav-dokument för verksamheten, så som krav på multifaktor-autentisering, kryptering av data, eller krav på att inga synliga lappar med autentiseringsinformation ska finnas vid datorer. Vissa krav kan vara tvingande, medan andra snarare kan anses önskvärda att uppnå, detta för att kunna anpassa kravet till verksamhetens olika delar. I kravställningar på svenska skiljer sig tvingande krav från önskvärda krav i val av verbet ska eller bör. Skillnaden mellan ska och bör är tydlig. Ska ska man, bör bör man ekar det i mitt huvud. I det svenska språket är ska ett tvingande krav, medans bör är ett önskvärt krav.
Nyligen uppkom frågan ”Hur säkerställer vi att samtliga anställda i en organisation förstår de styrdokument som distribueras till dem?”, vilket vidare utvecklades till frågan ”Ska vi använda ’shall’, ’should’ eller ’must’ som verb i kravställningar”? Ja, det var alltså kravdokument på engelska som skulle formuleras. Och svaret visade sig inte vara så enkelt att googla som tänkt. Så vad har internet att säga om saken?
Organisationen ISO, bakom 27001-standarden skriver själva i sitt dokument How to write standards [2] att shall och should är verb som ska användas. ISO skriver:
- Requirements – shall, shall not
- Recommendations – should, should not
Alltså för ska-krav ska shall användas och för bör-krav ska should användas. Vem vill säga emot författarna bakom den, för informationssäkerhetsvärlden, heliga skriften tänkte jag.
Jo, enligt den amerikanska myndigheten Office of the Federal Register ska shall undvikas i största möjligaste mån, shall borde inte användas överhuvudtaget i kravställningar [3]. Detta eftersom shall har flera betydelser. Det är inte bara ett tvingande ord, men shall kan också förstås som en förutsägelse av en kommande händelse. Ett exempel: I shall post this blog before deadline. Betyder det att jag kommer att göra det eller att jag ska göra det? Ett annat argument för varför shall inte ska användas för att skriva krav är att det inte används i ett vardagligt språk. En uppfattning om att det är ett mer formellt sätt att uttrycka sig leder därmed till att det läses som ålderdomligt och svårbegripligt [4]. Office of the Federal Register föreslår att verbet must är bättre för att skriva skall-krav (I must post this blog before deadline). Problematiken med shall verkar inte bara vara befintlig för mig när jag ska skriva kravdokument inriktade på informationssäkerhet, men även i juridikens värld [5]. I en kurs jag läste nyligen hänvisades även till Office of the Federal Registers rekommendationer om att undvika shall.
Vidare till en annan källa, som hänvisar till ISOs definitioner, samt att internationella domstolar har samma definitioner [6]. Enligt författaren så indikerar shall ett obligatoriskt krav, och även om det inte är ett vardagligt ord har det sin plats i kravdokument. Flertalet förespråkare för shall kan alltså identifieras, och samtliga verkar vara säkra på sin sak. Varför inte bara enas om att använda shall konsekvent? Något lurt är helt klart på gång. Argumenten för shall vs must låter mer eller mindre lika tunga på varje sida om man lyssnar på de olika förespråkarna.
Det minst kontroversiella i hela verb-ekvationen verkar vara användandet av should. Should hänvisar till ett mål, eller en önskan om kravuppfyllelse (I should post this blog before deadline) [6]. Should kan förstås som en önskan om att leva efter best practice. Många organisationer har best practice som ett mål, men ibland kan det finnas goda anledningar till att göra avsteg från best practice för att anpassa kravställningen till verksamheten och enklare lösa vardagliga problem. Det är därför bra att ha lite lösare krav i ett styrdokument ibland.
Sveriges myndigheter arbetar efter att skriva i så kallat ”klarspråk” för att samtliga medborgare ska kunna förstå, ta till sig och applicera den information som ges till dem. Det handlar om att skriva på ett enkelt sätt utan onödigt språkligt krångel. Ojämna kunskaper i svenska språket ska inte förhindra en medborgare att kunna följa lagar, regler och rekommendationer. På samma sätt ska inte kunskapsskillnader i säkerhet påverka personer som arbetar i en organisation och deras möjligheter att kunna skydda organisationens information. Därmed kan själva grammatiken bakom ett krav bli avgörande för möjligheten för en organisation att följa det ledningssystem och kravställningar som satts upp.
Så för att återkomma till ISO 27001-standarden och krav 7.3 Medvetenhet blir min slutsats att för att göra personerna i din organisation medvetna om ledningssystemet i informationssäkerhet måste du lära känna organisationen. Fånga upp medarbetares förståelse för informationssäkerhet och ledningssystemet samt hur de implementerar det i arbetsvardagen. Det är viktigare än ordvalen i sig. En bra start kan vara att i början av varje policy eller standard definiera vad kraven betyder i din kravmassa. Oavsett vilka ord som används, se till att förtydliga vilket verb som ger ett obligatoriskt krav och vilket verb som ger önskvärda krav. Håll dig sedan konsekvent till verbvalen i samtliga dokument i ledningssystemet.
PS. I did post this blog before deadline.
[1] ISO/IEC 27001 Informationssäkerhet – Cybersäkerhet och integritetsskydd – Ledningssystem för informationssäkerhet
[3] https://www.archives.gov/federal-register/write/legal-docs/clear-writing.html
[4] https://www.plainlanguage.gov/guidelines/conversational/shall-and-must/
[5] https://www.barandbench.com/columns/shall-shocked-the-use-of-shall-in-legal-documents
[6] https://argondigital.com/blog/product-management/using-the-correct-terms-shall-will-should/