Ny tjänst: Trustly söker Information Security Officer i Stockholm – det här söker arbetsgivaren
Trustly söker Information Security Officer i Stockholm. Enligt annonsen handlar rollen om att vidareutveckla och förvalta Trustlys informationssäkerhetsramverk (ISMS) och driva styrning, riskhantering och regelefterlevnad i en reglerad miljö kopplad till finansiella tjänster och betalningar.
Uppdraget omfattar även tredjepartsrisk, revisioner/certifieringar, säkerhetsmedvetenhet och att säkerställa förmågor inom kontinuitet, katastrofåterställning och krishantering. Rollen ska också kunna agera ställföreträdare för Director of Security vid behov. Arbetsform (exempelvis hybrid/distans) framgår inte av annonsen.
Ansvar och arbetsuppgifter
I annonsen beskriver Trustly ett brett GRC-inriktat ansvar inom informationssäkerhet och IT-säkerhet, med tyngd på ramverk, risk och compliance. Exempel på arbetsuppgifter:
- Utveckla, underhålla och kommunicera Trustlys informationssäkerhetsramverk (ISMS), inklusive instruktioner och rutiner i linje med regulatoriska krav och branschstandarder.
- Leda informationssäkerhetsriskanalyser, definiera och följa upp riskbehandlingsplaner samt hålla riskregistret uppdaterat.
- Bedöma säkerhetsnivån hos leverantörer och partners vid onboarding och löpande uppföljning, definiera avtalskrav och driva åtgärder vid identifierade gap.
- Säkerställa att business continuity, disaster recovery och krishantering möter regulatoriska krav och testas regelbundet.
- Definiera och förvalta säkerhetskontroller inom bland annat åtkomsthantering, internt bedrägeriförebyggande, övervakning och separation of duties.
- Säkerställa efterlevnad av tillämpliga regler, avtal och standarder samt samordna och stötta interna och externa revisioner och certifieringar.
- Hantera kunders due diligence-förfrågningar, säkerhetsfrågeformulär och leverantörsbedömningar.
- Driva security awareness genom utbildning, kommunikation och vägledning.
- Hantera processer för säkerhetsincidenter samt undantag/riskacceptans, inklusive dokumentation och korrekt godkännandenivå.
- Vara stand-in för Director of Security vid behov.
Kravprofil: kompetens och erfarenhet
Annonsen pekar ut en erfaren profil med fokus på styrning, riskhantering och regelefterlevnad, gärna från reglerade miljöer.
Krav
- Minst 5 års erfarenhet inom informationssäkerhet med fokus på governance, risk management eller compliance (GRC), helst inom reglerade finansiella tjänster eller betalningar.
- Erfarenhet av att leda och bygga team och/eller driva större projekt.
- Stark praktisk kunskap om ISO/IEC 27001.
- Praktisk erfarenhet av att översätta regulatoriska krav till policy och process (exempel som nämns: DORA, NIS2, PSD2 och EBA-riktlinjer).
- Dokumenterad erfarenhet av tredjepartsriskhantering genom hela leverantörslivscykeln.
- Mycket god kommunikationsförmåga i tal och skrift, inklusive att kunna skriva policy, presentera brett i organisationen och ge råd till senior ledning.
- Förmåga att driva tvärfunktionella initiativ och påverka intressenter på olika nivåer.
- Flytande engelska i tal och skrift. Svenska är enligt annonsen en bonus men inget krav.
Meriterande
- Vana vid ramverk som NIST CSF.
- Relevanta certifieringar (aktiva eller utgångna) såsom CISM, ISO 27001 Lead Implementer, CISA, CISSP eller liknande.
- Svenska språkkunskaper (bonus enligt annonsen).
Vilken typ av säkerhetsroll är det?
Utifrån annonsens innehåll är detta en informationssäkerhetsroll med tydlig inriktning mot governance, risk och compliance (GRC) i en reglerad betalnings-/finansmiljö. Tyngdpunkten ligger på ledningssystem (ISMS/ISO 27001), riskregister och riskbehandling, tredjepartsrisk samt regelefterlevnad och revisioner.
Samtidigt ingår moment som tangerar cybersäkerhet och operativ förmåga, exempelvis incidentprocess, åtkomststyrning och säkerhetskontroller, samt beredskapsnära områden som kontinuitet, disaster recovery och krishantering. Annonsen berör inte fysisk säkerhet eller säkerhetsskydd.
Det här bör kandidater lyfta i ansökan
För att matcha Trustlys kravbild kan det vara relevant att konkretisera erfarenhet inom följande områden (med exempel, resultat och leveranser):
- Hur du har byggt, förvaltat eller förbättrat ett ISMS enligt ISO/IEC 27001 (policystruktur, styrande dokument, rutiner och uppföljning).
- Genomförda riskbedömningar och hur du arbetat med riskbehandling: riskregister, åtgärdsplaner, prioritering och uppföljning.
- Tredjepartsriskhantering: kravställning i avtal, due diligence, löpande kontroller och hur du drivit remediation när brister upptäckts.
- Erfarenhet av regulatorisk tolkning och implementering (exempelvis DORA/NIS2/PSD2/EBA): hur kraven omsatts till processer, kontroller och evidens.
- Arbete med kontinuitet, DR och krisledning: testupplägg, övningar och hur du säkerställt att kapabiliteterna är verifierbara.
- Revisioner och certifieringar: din roll i interna/externa audits, hantering av avvikelser och förbättringsarbete.
- Kommunikation och förändringsledning: hur du drivit security awareness, skapat förankring och påverkat tvärfunktionellt.
- Incident- och undantagshantering: hur du säkrat dokumentation, beslutsgång och rätt godkännandenivå för riskacceptans.
Eftersom annonsen betonar engelska som arbetsspråk kan det också vara klokt att visa prov på tydlig policy- och rapportskrivning på engelska.
Så söker du tjänsten
Trustly uppmanar kandidater att ansöka och skicka in CV på engelska. Sista ansökningsdag framgår inte i annonsen.
Annonsen anger även att Trustly kan använda AI-verktyg som stöd i delar av rekryteringsprocessen (till exempel granskning av ansökningar och analys av CV), men att slutliga beslut fattas av människor.
Sammanfattningsvis signalerar annonsen ett tydligt kompetensbehov inom informationssäkerhet/GRC i en reglerad miljö, med fokus på ISO 27001, tredjepartsrisk, regulatorisk efterlevnad och testad kontinuitets- och incidentförmåga.
