Ny tjänst: Legora söker Information Security Specialist i Stockholm – det här söker arbetsgivaren
Legora söker Information Security Specialist i Stockholm. Enligt jobbannonsen är rollen inriktad på att skydda klienters mycket känsliga juridiska data och att vidareutveckla ett säkerhets- och regelefterlevnadsprogram anpassat för en AI-era, med bland annat Zero Trust, styrning (governance) och kontinuerlig compliance.
Tjänsten beskrivs som praktisk och ”high-impact”, med ansvar i gränslandet mellan policyarbete, riskhantering, audit readiness och teknik. Legora lyfter specifikt arbete med ISO 27001, SOC 2 Type II och ISO 42001. Rollen är enligt annonsen Stockholm-baserad och på kontoret fem dagar i veckan.
Ansvar och arbetsuppgifter
I annonsen framgår att Information Security Specialist ska driva och skala Legoras governance, risk och compliance (GRC) samt fungera som rådgivare internt och externt. Centrala arbetsuppgifter är bland annat att:
- Äga och förvalta ISMS (Information Security Management System) enligt ISO 27001 och ISO 42001, inklusive dokumentation, införande och kontinuerliga förbättringar.
- Leda arbetet med SOC 2 Type II och stödja framtida förberedelser för SOX ITGC (IT General Controls), i samarbete med Finance och Engineering.
- Ta fram, implementera och underhålla informationssäkerhetspolicies, standarder och rutiner som är ”lightweight” och praktiskt tillämpbara, i linje med ramverk och regelverk som GDPR, ISO 27001, SOC 2 och ISO 42001.
- Genomföra riskanalyser, threat modeling och gap-analyser för att identifiera och prioritera åtgärder.
- Koordinera interna och externa revisioner, penetrationstester och compliance-bedömningar samt driva åtgärdsplaner.
- Hantera leverantörsrisk (third-party risk) via granskningar, due diligence och löpande uppföljning.
- Vara primär kontakt för kunders säkerhetsfrågeformulär, due diligence-förfrågningar, revisionsunderlag (SOC 2/ISO) och avtalsmässiga säkerhetsåtaganden.
- Stödja ”secure AI governance” genom policyer och kontroller som skyddar data i AI-flöden, motverkar adversarial användning och stödjer ansvarsfull AI i linje med ISO 42001.
- Driva säkerhetsutbildning och awareness, inklusive introduktion för nyanställda.
- Samarbeta med Engineering kring incidenthanteringsplanering och återföring av lärdomar till policy och riskarbete.
- Följa upp och rapportera säkerhetsmätetal, KPI:er och compliance-status till ledning.
Kravprofil: kompetens och erfarenhet
Krav
- Minst 7+ års erfarenhet inom GRC, informationssäkerhet, compliance eller revision, gärna från snabbväxande tech- eller SaaS-miljö. Alternativt en erfaren mjukvaruingenjör som övergår till informationssäkerhet.
- Praktisk erfarenhet av att implementera och förvalta ISO 27001 och SOC 2 Type II, samt compliance-program i linje med NIST 800-53.
- Kunskap om styrningsramverk, riskmetodik och dataskyddsregler (annonsen nämner ERM, GDPR, CCPA, ISO 42001 och SOX ITGC).
- Förståelse för Zero Trust och OWASP Top 10, och hur dessa tillämpas över identitet, enheter, devops-processer och molntjänster.
- Förmåga att arbeta nära tekniska team inom exempelvis molnsäkerhet (Azure), infrastructure-as-code, säker utveckling och AI-systemsäkerhet.
- Stark analytisk och organisatorisk förmåga, inklusive att hantera flera parallella revisioner, bedömningar och compliance-initiativ.
- God kommunikations- och stakeholder management-förmåga, med förmåga att omsätta säkerhets- och compliancekrav till tydlig vägledning för både tekniska och icke-tekniska målgrupper.
Meriterande
- Certifieringar som CISSP, CISM, CISA eller ISO 27001 Lead Auditor (beskrivs som ”desirable”).
- Erfarenhet av att säkra AI/ML-workflows.
- Erfarenhet av automation med GenAI-verktyg, exempelvis Zapier eller n8n (anges som ett stort plus).
Vilken typ av säkerhetsroll är det?
Rollen är tydligt placerad inom informationssäkerhet/IT-säkerhet med tyngdpunkt på GRC: styrning, riskhantering och regelefterlevnad. Annonsen betonar särskilt revisions- och ramverksarbete (ISO 27001, SOC 2 Type II, ISO 42001) samt kontrollmiljöer och audit readiness, i kombination med praktiskt samarbete med Engineering kring moln, devops och incidenthantering.
Att Legora lyfter ”secure AI governance” och ISO 42001 signalerar också ett växande kompetensbehov i skärningspunkten mellan cybersäkerhet, informationssäkerhet och AI-styrning, där policyer och tekniska kontrollmekanismer behöver utvecklas i takt med nya arbetssätt och nya risker.
Det här bör kandidater lyfta i ansökan
Utifrån annonsens krav och ansvar kan det vara relevant att konkretisera följande i ansökan:
- Exempel på hur du byggt, förvaltat eller förbättrat ett ISMS enligt ISO 27001 (och om du arbetat mot ISO 42001, beskriv hur).
- Erfarenhet av SOC 2 Type II i praktiken: kontrollkartläggning, evidensinsamling, åtgärdsplaner och kontinuerlig audit readiness.
- Hur du genomför riskbedömningar, threat modeling och gap-analyser och hur du prioriterar åtgärder tillsammans med verksamhet och teknik.
- Arbetssätt för leverantörsrisk och due diligence, inklusive uppföljning och kravställning.
- Erfarenhet av kunddialog kring säkerhetsfrågor: säkerhetsquestionnaires, avtalskrav och delning av revisionsunderlag.
- Samarbete med Engineering kring moln (Azure), IaC och secure development practices – och hur du översätter krav till praktiskt genomförbara kontroller.
- Insatser inom security awareness och utbildning, samt hur du mäter effekt (KPI:er/mätetal) och rapporterar till ledning.
- Om du arbetat med AI/ML-säkerhet eller AI-governance: beskriv kontroller för dataskydd i AI-flöden och hur du hanterat risker kopplade till adversarial användning.
Så söker du tjänsten
Annonsen anger att tjänsten är Stockholm-baserad och att arbetet sker på kontoret fem dagar i veckan. Hur ansökan ska skickas in (exempelvis via länk eller e-post) framgår inte av underlaget här, och inte heller sista ansökningsdag.
Sammanfattningsvis är detta en GRC-tung informationssäkerhetsroll med fokus på ISMS, ISO- och SOC-compliance samt AI-styrning, där kandidatens förmåga att kombinera ramverk, riskarbete och teknisk förståelse blir central.
