Ny tjänst: Trustly söker Information Security Officer i Stockholm – det här söker arbetsgivaren
Trustly söker Information Security Officer i Stockholm. Rollen är tydligt inriktad på styrning och efterlevnad inom informationssäkerhet (GRC), med ansvar för att utveckla och förvalta företagets informationssäkerhetsramverk (ISMS), driva riskhantering och säkerställa att krav från regelverk och standarder omsätts i policyer, processer och kontroller.
I annonsen framgår att tjänsten också omfattar tredjepartsrisk (leverantörer/partners), stöd vid revisioner och certifieringar, arbete med incidentprocesser samt beredskapsrelaterade områden som kontinuitet, disaster recovery och krishantering. Arbetsform (t.ex. hybrid/remote), omfattning, lön och sista ansökningsdag framgår inte av annonsen.
Ansvar och arbetsuppgifter
Enligt annonsen ingår bland annat att:
- utveckla, underhålla och kommunicera Trustlys informationssäkerhetsramverk (ISMS), inklusive instruktioner och rutiner i linje med regulatoriska krav och branschstandarder
- leda informationssäkerhetsriskbedömningar, ta fram och följa upp riskbehandlingsplaner samt hålla riskregistret uppdaterat
- bedöma säkerhetsnivån hos tredjepartsleverantörer och partners vid onboarding och löpande uppföljning, definiera kontraktuella säkerhetskrav och driva åtgärder för identifierade gap
- säkerställa att business continuity, disaster recovery och krishanteringsförmåga uppfyller regulatoriska krav och testas regelbundet
- definiera och förvalta säkerhetskontroller inom exempelvis access management, intern bedrägeriprevention, övervakning samt segregation of duties
- säkerställa efterlevnad av regulatoriska krav, avtalskrav och standarder, samt koordinera och stödja interna och externa revisioner och certifieringar
- besvara kunders due diligence-förfrågningar, säkerhetsfrågeformulär och leverantörsbedömningar
- driva säkerhetsmedvetenhet i organisationen genom utbildning, kommunikation och vägledning
- hantera säkerhetsincidentprocessen samt processer för undantag och riskacceptans (inklusive dokumentation och godkännande på rätt nivå)
- agera ställföreträdare för Director of Security vid behov
Kravprofil: kompetens och erfarenhet
Krav
- minst 5 års erfarenhet inom informationssäkerhet, med fokus på styrning, riskhantering eller compliance (gärna från reglerade finansiella tjänster eller betalningar)
- erfarenhet av att leda och bygga team och/eller driva större projekt
- stark arbetskunskap om ISO/IEC 27001
- praktisk erfarenhet av att översätta regulatoriska krav till policy och process (exempel som nämns: DORA, NIS2, PSD2, EBA guidelines)
- dokumenterad erfarenhet av third-party risk management genom hela leverantörslivscykeln
- mycket god förmåga att kommunicera i tal och skrift, inklusive att skriva policyer, presentera brett och rådgiva senior ledning
- förmåga att driva tvärfunktionella initiativ och påverka intressenter på olika nivåer
- flytande engelska i tal och skrift (svenska är inte ett krav)
Meriterande
- kännedom om ramverk som NIST CSF
- relevanta certifieringar (aktiva eller utgångna) såsom CISM, ISO 27001 Lead Implementer, CISA, CISSP eller motsvarande
- svenska språket (bonus enligt annonsen)
Vilken typ av säkerhetsroll är det?
Tjänsten är i första hand en informationssäkerhetsroll med tydlig GRC-inriktning (governance, risk, compliance). Fokus ligger på ISMS/ISO 27001, regulatorisk efterlevnad och revisionsstöd, men även på praktiska kontrollområden som åtkomsthantering och segregation of duties.
Annonsen pekar också på beredskapsrelaterade ansvarsområden genom krav på business continuity, disaster recovery och krishantering. Däremot nämns inte fysisk säkerhet eller säkerhetsskydd, och rollen framstår inte som en renodlad SOC-/operativ cybersäkerhetsroll, även om incidentprocessen ingår.
Det här bör kandidater lyfta i ansökan
För att matcha kravbilden kan det vara relevant att konkretisera:
- hur du har byggt, förvaltat eller vidareutvecklat ett ISMS enligt ISO/IEC 27001 (inklusive styrande dokument, rutiner och uppföljning)
- exempel på riskbedömningar du lett, hur riskregister hålls aktuellt och hur riskbehandling drivs till genomförande
- hur du arbetar med tredjepartsrisk: onboarding, säkerhetskrav i avtal, löpande uppföljning samt åtgärdsdrivning vid avvikelser
- erfarenhet av att omsätta regelverk till praktik (t.ex. DORA, NIS2, PSD2, EBA-riktlinjer) och hur du säkerställt spårbarhet mellan krav, kontroller och evidens
- arbete med kontinuitetsplanering, DR och krishanteringsövningar/tester samt hur resultat omsätts i förbättringar
- revisionserfarenhet: stöd vid interna/externa audits, hantering av avvikelser och förberedelse av underlag
- incidenthantering samt process för undantag och riskacceptans, inklusive beslutsnivåer och dokumentation
- kommunikationsförmåga: policyförfattande, utbildningsinsatser och rådgivning till ledning
Så söker du tjänsten
Trustly uppmanar kandidater att ansöka och skicka in CV på engelska. Sista ansökningsdag framgår inte av annonsen. Företaget uppger också att AI-verktyg kan användas som stöd i delar av rekryteringsprocessen, men att slutliga beslut fattas av människor.
Sammanfattningsvis signalerar annonsen ett tydligt kompetensbehov inom informationssäkerhetsstyrning, regulatorisk compliance och tredjepartsrisk, kombinerat med krav på att kunna driva tvärfunktionellt arbete och stödja kontinuitet och incidentprocesser i en reglerad betalningsmiljö.
