Director of Information Security Governance & Compliance – Stockholm

Ledande GRC-roll på Sobi: ansvar för ISMS, revisioner och efterlevnad enligt NIS2, GDPR och ISO 27001. Rapporterar till CISO. Plats Stockholm eller Basel, hybrid.

Ny tjänst: Sobi – Swedish Orphan Biovitrum AB (publ) söker Director of Information Security Governance & Compliance i Stockholms kommun – det här söker arbetsgivaren

Sobi – Swedish Orphan Biovitrum AB (publ) söker Director of Information Security Governance & Compliance i Stockholms kommun. Rollen beskrivs som en ledande funktion med ansvar för att säkerställa att bolagets ramverk för informationssäkerhet är robust, effektivt och anpassat för en högt reglerad miljö. Uppdraget omfattar styrning och regelefterlevnad (governance & compliance) internt och gentemot externa partners, med fokus på revisioner, kontrollgranskningar, ISMS samt CAPA och kontinuerliga förbättringar.

Enligt annonsen ingår rollen i Sobis Global Information Security-team, rapporterar till CISO och är placerad vid huvudkontoret i Stockholm eller bolagets globala hubb i Basel. Tjänsten är hybrid. Exakt omfattning (tillsvidare/visstid, heltid/deltid) framgår inte i annonsen.

Ansvar och arbetsuppgifter

Director of Information Security Governance & Compliance får ett tydligt uppdrag att utveckla och driva styrning, efterlevnad och uppföljning inom informationssäkerhet i en internationell och reglerad verksamhet. Av annonsen framgår bland annat följande ansvarsområden:

Leda och vidareutveckla Sobis styrningsramverk för informationssäkerhet och ISMS, inklusive policyer, standarder och procedurer.
Säkerställa alignment mot regulatoriska krav och ramverk såsom NIS2, GDPR och ISO 27001.
Planera och leda interna och externa revisioner (audits) samt compliance-granskningar i organisationen och hos tredje parter.
Följa upp incidenter genom rotorsaksanalys, CAPA-aktiviteter och spårning av riskreducerande åtgärder till stängning.
Ta fram relevanta compliance- och riskmått (metrics), driva kontinuerliga förbättringar och rapportera för att stödja beslutsfattande.
Samverka nära med CISO, Quality, verksamhetsintressenter, revisorer och externa partners för att stärka ansvarstagande och säkerhetsmedvetenhet.

Kravprofil: kompetens och erfarenhet

Annonsen beskriver en senior informationssäkerhetsledare med pragmatisk och strukturerad ansats, som kan omsätta krav och ramverk till praktiskt fungerande arbetssätt samt driva uppföljning och förbättring.

Krav

Stark erfarenhet av informationssäkerhetsstyrning, risk och regelefterlevnad (governance, risk & compliance), gärna i global eller högt reglerad miljö.
God kunskap om relevanta ramverk och regelverk, såsom NIS2, GDPR och ISO 27001.
Dokumenterad förmåga att leda revisioner, complianceprogram och initiativ för kontinuerlig förbättring.
Erfarenhet av tredjepartsbedömningar, leverantörsefterlevnad eller extern övervakning/uppföljning.
Stark analytisk förmåga och förmåga att prioritera, skapa struktur och följa upp komplexa frågor.
Mycket god kommunikations- och intressenthanteringsförmåga samt förmåga att påverka tvärfunktionellt.

Meriterande

Kunskap om GxP/ALCOA+ eller GAMP (anges i annonsen som “ideally”).

Vilken typ av säkerhetsroll är det?

Det här är en tydlig informationssäkerhets- och IT-säkerhetsroll med tyngdpunkt på governance, risk och compliance (GRC). Fokus ligger på att driva ett fungerande ISMS, säkerställa efterlevnad mot regelverk som GDPR och NIS2 samt leda revisioner och uppföljning, inklusive CAPA och kontinuerliga förbättringar.

Rollen placerar sig nära ledning och styrning (rapportering till CISO) och innebär omfattande samverkan med kvalitetsfunktion (Quality) och externa parter, vilket speglar kompetensbehovet i reglerade branscher där cybersäkerhet och informationssäkerhet behöver vara spårbar, mätbar och revisionsbar.

Det här bör kandidater lyfta i ansökan

Utifrån annonsens kravbild kan det vara särskilt relevant att i ansökan konkretisera hur du har arbetat med styrning, efterlevnad och förbättringsarbete i praktiken. Exempel på områden att beskriva tydligt:

Hur du har utvecklat eller förvaltat ISMS, policystruktur och styrande dokument samt fått efterlevnad i verksamheten.
Erfarenhet av att leda interna och externa audits, inklusive hur du planerat revisioner, hanterat avvikelser och drivit åtgärdsplaner.
Praktiska exempel på arbete mot ISO 27001, GDPR och/eller NIS2, och hur kraven omsatts till processer och kontroller.
Metodik för rotorsaksanalys, CAPA och uppföljning av riskmitigering till stängning.
Hur du skapat relevanta risk- och compliance-mått och rapporterat till ledning för att stödja beslut.
Samarbete med tredje parter: leverantörsgranskningar, tredjepartsrisk och kravställning vid extern oversight.
Exempel på hur du byggt säkerhetskultur och arbetat med ansvarstagande och tydliga roller i tvärfunktionella miljöer.

Så söker du tjänsten

Enligt annonsen har Sobi en löpande urvalsprocess och uppmanar kandidater att skicka in ansökan så snart som möjligt. Ansökan görs via “apply” och ska innehålla CV. Sista ansökningsdag framgår inte i annonsen.

Sammanfattningsvis signalerar annonsen ett starkt behov av senior GRC-kompetens inom informationssäkerhet, med vana att driva revisioner, efterlevnad och kontinuerliga förbättringar i en reglerad och internationell kontext.