Information Security Specialist – Stockholm – Legora

Legora rekryterar Information Security Specialist i Stockholm. GRC, ISO 27001/SOC 2/ISO 42001, Zero Trust, risk och AI‑governance. 5 dagar på kontor.

Ny tjänst: Legora söker Information Security Specialist i Stockholm – det här söker arbetsgivaren

Legora söker Information Security Specialist i Stockholm. Enligt jobbannonsen handlar rollen om att bygga, driva och skala bolagets säkerhets- och efterlevnadsarbete (GRC) med fokus på att skydda klienters mycket känsliga juridiska data i en AI-präglad miljö. Legora beskriver att de bygger ett program med Zero Trust, styrning och kontinuerlig compliance som grund, där kandidaten ska arbeta i skärningspunkten mellan policy, riskhantering, revisionsberedskap och teknik.

Rollen är Stockholm-baserad och är en 5-dagars på-kontoret-tjänst. Annonsen anger att arbetet ska bidra till att upprätthålla och vidareutveckla efterlevnad mot ISO 27001, SOC 2 Type II och ISO 42001, samt stödja framtida SOX ITGC-beredskap.

Ansvar och arbetsuppgifter

Information Security Specialist får ett operativt ansvar för centrala delar av Legoras styrning, risk och regelefterlevnad, inklusive förvaltning av ledningssystem och stöd i kund- och revisionsprocesser. I annonsen listas bland annat följande uppgifter:

Äga och förvalta ISMS enligt ISO 27001 och ISO 42001, inklusive att dokumentera, implementera och kontinuerligt förbättra policies, processer och kontroller.
Leda bolagets compliance-arbete för SOC 2 Type II och stödja framtida SOX ITGC readiness i samarbete med Finance och Engineering.
Ta fram och underhålla informationssäkerhetspolicyer, standarder och rutiner som är ”lättviktiga” och praktiskt tillämpbara, i linje med bland annat GDPR, ISO 27001, SOC 2 och ISO 42001.
Genomföra regelbundna riskbedömningar, hotmodellering och gap-analyser för att identifiera risker och prioritera åtgärder.
Samordna interna och externa revisioner, penetrationstester och compliance-assessments, inklusive åtgärdsplaner och kontinuerlig revisionsberedskap.
Hantera leverantörsrisk genom tredjepartsgranskningar, due diligence och löpande uppföljning.
Vara primär kontaktpunkt för kunders säkerhetsfrågeformulär, due diligence-förfrågningar, revisionsrapporter (SOC 2, ISO-certifikat) och avtalskrav kopplat till säkerhet.
Stödja säker AI-governance genom att definiera policyer och kontroller för data i AI-arbetsflöden, motverka adversarial användning och säkerställa ansvarsfull AI i linje med ISO 42001.
Driva säkerhetsutbildning och awareness internt, inklusive onboarding av nyanställda och återkommande utbildningsinsatser.
Samarbeta med Engineering kring incidenthanteringsplanering och att omsätta lärdomar i policy- och riskarbete.
Följa upp och rapportera säkerhetsmått/KPI:er och compliance-status till ledning med rekommendationer.

Kravprofil: kompetens och erfarenhet

Krav

Minst 7 års erfarenhet inom GRC, informationssäkerhet, compliance eller revision, gärna från snabbväxande tech-/SaaS-miljö. Alternativt: erfaren mjukvaruingenjör som går mot informationssäkerhet.
Praktisk erfarenhet av att implementera och förvalta ISO 27001 och SOC 2 Type II, samt NIST 800-53-kompatibla compliance-program (enligt annonsen).
Kunskap om ramverk, riskmetoder och dataskyddsregler, där annonsen nämner ERM, GDPR, CCPA, ISO 42001 och SOX ITGC.
Förståelse för Zero Trust-principer och OWASP Top 10, samt hur dessa tillämpas över identitet, enheter, devops-processer och molntjänster.
Förmåga att arbeta med tekniska team kring exempelvis molnsäkerhet (Azure), infrastructure-as-code, säkra utvecklingsmetoder och AI-systemsäkerhet.
Stark analytisk och organisatorisk förmåga, inklusive att hantera flera revisioner, bedömningar och complianceinitiativ parallellt.
Mycket god kommunikations- och samverkansförmåga, med förmåga att översätta krav inom säkerhet & compliance till tydlig och praktisk vägledning för både tekniska och icke-tekniska intressenter.

Meriterande

Certifieringar som CISSP, CISM, CISA eller ISO 27001 Lead Auditor (beskrivs som ”desirable”).
Erfarenhet av att säkra AI/ML-flöden.
Erfarenhet av att bygga automation med GenAI-verktyg, med exempel i annonsen som Zapier eller n8n.

Vilken typ av säkerhetsroll är det?

Rollen är tydligt inriktad mot informationssäkerhet och IT-säkerhet, med tyngdpunkt på styrning, risk och regelefterlevnad (GRC). Annonsen pekar särskilt ut arbete med ledningssystem (ISMS), revisioner och ramverk som ISO 27001, SOC 2 Type II och ISO 42001, samt leverantörsrisk och kundernas due diligence-krav.

Samtidigt finns en uttalad koppling till modern cybersäkerhet i praktiken genom Zero Trust, OWASP Top 10, moln (Azure), säkra utvecklingsprocesser och säker AI-governance. Det framgår däremot inte att rollen omfattar områden som fysisk säkerhet, säkerhetsskydd eller beredskap/krisledning.

Det här bör kandidater lyfta i ansökan

För den som söker tjänsten kan det vara relevant att konkret visa erfarenhet inom de områden som Legora prioriterar i annonsen:

Exempel på hur du byggt, drivit eller förbättrat ett ISMS (ISO 27001) och hur du arbetat med kontinuerliga förbättringar, kontrollmiljö och dokumentation.
Din roll i SOC 2 Type II-arbete: processkartläggning, kontrollutformning, bevisinsamling, remediation och revisionssamordning.
Hur du genomfört riskanalyser, hotmodellering och gap-analyser samt hur du prioriterat åtgärder tillsammans med Engineering.
Erfarenhet av tredjepartsrisk: due diligence, leverantörsgranskningar och uppföljning över tid.
Förmåga att hantera kundkrav: säkerhetsquestionnaires, avtalskrav, rapportering och tydlig kommunikation med externa intressenter.
Teknisk förståelse som stödjer governance: Zero Trust, OWASP Top 10, Azure, IaC och secure development practices.
Om relevant: hur du arbetat med AI-governance och kontroller för AI-arbetsflöden i linje med ISO 42001.
Hur du planerat incidenthantering och säkerställt att ”lessons learned” lett till uppdaterade policyer och riskbehandling.

Så söker du tjänsten

Annonsen beskriver rollen och placerar den i Stockholm med krav på arbete på kontoret fem dagar i veckan. Exakt information om ansökningsväg (t.ex. länk, e-post eller rekryteringssystem) framgår inte i det underlag som publicerats här. Inte heller sista ansökningsdag, anställningsform eller lönenivå framgår i annonsen.

Sammanfattningsvis signalerar annonsen att Legora prioriterar en hands-on GRC-profil som kan kombinera ISO/SOC-compliance, riskhantering och teknisk förståelse i en AI- och SaaS-miljö – med tydlig tyngd på informationssäkerhet och revisionsberedskap.