Information Security Specialist i Stockholm – Legora

Ny tjänst: Information Security Specialist i Stockholm. Fokus på GRC, ISO 27001, SOC 2 och AI-styrning (ISO 42001) i SaaS & legal tech. Läs krav och ansvar.

Ny tjänst: Legora söker Information Security Specialist i Stockholm – det här söker arbetsgivaren

Legora söker Information Security Specialist i Stockholm. Enligt annonsen handlar rollen om att skydda klienters mycket känsliga juridiska data och att vidareutveckla bolagets säkerhets- och regelefterlevnadsprogram med fokus på styrning, risk och regelefterlevnad (GRC) i en AI- och SaaS-miljö.

Rollen beskrivs som praktisk och med stort genomslag, där kandidaten ska arbeta i skärningspunkten mellan policyarbete, riskhantering, audit readiness och teknik. Legora anger att tjänsten kan utgå från Stockholm eller New York, och att bolaget har en 5-dagars policy för arbete på kontoret. Övriga villkor, såsom anställningsform och sista ansökningsdag, framgår inte av annonsen.

Ansvar och arbetsuppgifter

I annonsen betonas ansvar för både ledningssystem och löpande efterlevnad mot etablerade ramverk och standarder. Exempel på arbetsuppgifter:

Äga och förvalta ett informationssäkerhetsledningssystem (ISMS) i linje med ISO 27001 och ISO 42001, inklusive dokumentation, införande och kontinuerliga förbättringar.
Leda arbetet med SOC 2 Type II-efterlevnad samt stötta framtida SOX ITGC-beredskap i samarbete med Finance och Engineering.
Ta fram, implementera och underhålla informationssäkerhetspolicys, standarder och rutiner kopplade till bland annat GDPR, ISO 27001, SOC 2 och ISO 42001.
Genomföra riskbedömningar, threat modeling och gap-analyser samt prioritera åtgärder.
Samordna interna och externa revisioner, penetrationstester och compliance-bedömningar samt driva åtgärdsplaner.
Hantera leverantörsrisk genom tredjepartsgranskningar, due diligence och löpande uppföljning.
Vara kontaktpunkt för kunders säkerhetsfrågeformulär, due diligence-förfrågningar, audit-rapporter och avtalsmässiga säkerhetsåtaganden.
Stödja säker AI-styrning genom att definiera kontroller som skyddar data i AI-flöden, motverkar adversarial användning och stödjer ansvarsfull AI i linje med ISO 42001.
Driva säkerhetsmedvetenhet och utbildning internt, inklusive onboarding och återkommande utbildningsinsatser.
Samarbeta med Engineering kring incident response-planering och återföring av lärdomar till policy- och riskarbetet.
Följa upp och rapportera säkerhetsmätetal/KPI:er och compliance-status till ledning.

Kravprofil: kompetens och erfarenhet

Krav

Minst 3 års erfarenhet inom GRC, informationssäkerhet, regelefterlevnad eller revisionsnära roller, gärna i snabbväxande tech- eller SaaS-miljö.
Alternativt: erfaren mjukvaruingenjör som är på väg att gå över till informationssäkerhet.
Praktisk erfarenhet av att implementera och förvalta ISO 27001 och SOC 2 Type II (annonsen nämner även NIST 800-53-kompatibla compliance-program).
Kunskap om styrningsramverk, riskhanteringsmetodik och dataskyddsregleringar, exempelvis ERM, GDPR, CCPA, ISO 42001 och SOX ITGC.
Förståelse för Zero Trust-principer samt OWASP Top 10-risker och hur dessa tillämpas över identitet, enheter, DevOps-processer och molntjänster.
Förmåga att diskutera med tekniska team om molnsäkerhet (Azure), infrastructure-as-code, säkra utvecklingsmetoder och säkerhet i AI-system.
Starka analytiska och organisatoriska förmågor samt kapacitet att hantera flera parallella revisioner och compliance-initiativ.
God kommunikations- och intressenthanteringsförmåga, inklusive att översätta krav till tydlig vägledning för både tekniska och icke-tekniska mottagare.

Meriterande

Certifieringar som CISSP, CISM, CISA eller ISO 27001 Lead Auditor (anges som önskvärda).
Erfarenhet av att säkra AI/ML-flöden.
Erfarenhet av automation med GenAI-verktyg, exempelvis Zapier eller n8n.

Vilken typ av säkerhetsroll är det?

Detta är i första hand en informationssäkerhets- och IT-säkerhetsroll med tydlig tyngdpunkt på GRC: governance, risk management och compliance. Fokus ligger på att driva och skala ett säkerhets- och efterlevnadsprogram (ISMS, ISO 27001, SOC 2 Type II och ISO 42001) samt på audit readiness, tredjepartsrisk och kundkrav.

Annonsen pekar även på ett växande behov av säkerhetsstyrning kopplad till AI, där kandidaten ska bidra med kontroller och policys för ansvarsfull AI och dataskydd i AI-arbetsflöden. Rollen berör också incidenthantering genom samverkan kring incident response-planering, men tyngdpunkten är styrning och efterlevnad snarare än operativ SOC-verksamhet.

Det här bör kandidater lyfta i ansökan

Konkreta exempel på hur du har byggt, förvaltat eller förbättrat ett ISMS enligt ISO 27001 (och gärna hur du arbetat med kontinuerlig förbättring).
Erfarenhet av SOC 2 Type II: hur du har samordat kontroller, evidensinsamling, revision och åtgärdsplaner.
Hur du genomför riskbedömningar, threat modeling och gap-analyser – och hur du prioriterar åtgärder i en tekniskt snabb miljö.
Arbete med leverantörsrisk (tredjepartsgranskningar, due diligence och uppföljning) och hur du hanterar krav i avtal och kundgranskningar.
Förmåga att samarbeta med Engineering/utveckling kring cloud security (Azure), IaC och secure development practices.
Exempel på hur du har drivit säkerhetsutbildning och förbättrat säkerhetsmedvetenhet i organisationer.
Om relevant: hur du har arbetat med AI-styrning, kontroller för AI-flöden och efterlevnad kopplad till ISO 42001.

Så söker du tjänsten

Annonsen beskriver rollen och kravprofilen men anger inte i detalj hur ansökan ska skickas in. Sista ansökningsdag framgår inte av annonsen.

Sammanfattningsvis signalerar rekryteringen att Legora prioriterar informationssäkerhet och regelefterlevnad i en AI-driven produktmiljö, med särskilt fokus på ISO 27001, SOC 2 Type II och AI-styrning enligt ISO 42001 – en kompetensprofil som blir allt mer central i svenska säkerhetsjobb inom SaaS och legal tech.