Ny tjänst: Philips söker Information Security Management System (ISMS) Manager Nordics i Stockholm – det här söker arbetsgivaren
Philips söker Information Security Management System (ISMS) Manager Nordics i Stockholm. Enligt jobbannonsen ska rollen leda och förvalta Philips informationssäkerhetsledningssystem (ISMS) för de nordiska kommersiella enheterna, med start i Sweden Philips AB. Uppdraget omfattar att utveckla och mogna ISMS-arbetet, driva riskhanteringsprocesser samt ge styrning och översikt för att stödja verksamhetsmål och skydda produktplattform och miljöer.
Rollen beskrivs som central för att säkerställa konfidentialitet, riktighet och tillgänglighet för kund- och organisationsdata, samt efterlevnad av regelverk och standarder inom hälso- och vårdsektorn, såsom GDPR och ISO/IEC 27001. Philips anger också ett arbetssätt där kontorsbaserade team arbetar på plats minst tre dagar per vecka.
Ansvar och arbetsuppgifter
Annonsen beskriver ett brett ansvar inom informationssäkerhet, styrning (governance) och regelefterlevnad kopplat till ett ISMS. Exempel på arbetsuppgifter:
- Utveckla, implementera och förvalta ISMS-ramverket i linje med ISO/IEC 27001.
- Leda Information Security Council inom Hospital Patient Monitoring (HPM), driva milstolpar och mål samt genomföra riskbedömningar, gap-analyser och interna revisioner.
- Stödja harmonisering av befintliga säkerhetsramverk inom HPM med ISMS.
- Ta fram och underhålla dokumentation såsom policys, processer, rutiner, standarder och arbetsinstruktioner för säkerhetsarbetet.
- Samordna riskhantering inklusive rapportering av identifierade risker och genomförande av riskbehandlingsplaner.
- Identifiera, implementera och förvalta kompletterande säkerhetskontroller inom ISMS.
- Säkerställa att roller och ansvar för informationssäkerhet förstås på olika nivåer i organisationen samt driva “security and privacy mindset”.
- Följa förändringar i lagar och regulatoriska krav, identifiera gap i ISMS och bidra till mitigering tillsammans med process- och policyägare.
- Samarbeta med Group Security för att införa säkerhetskontroller i olika lager av plattformen, inklusive i CI/CD-pipeline.
- Upprätthålla ett revisions- och rapporteringsramverk som tar fram underlag/artefakter för säkerhet och compliance.
- Identifiera icke-efterlevnad och ineffektiva kontroller, inklusive hos kritiska tredjepartsleverantörer, samt prioritera åtgärder.
- Genomföra leverantörsbedömningar och kartlägga tredjepartsrisker med standardiserad frågeinsamling.
- Ge stöd och styrning för säkerhetstestning för att säkerställa att kontroller möter legala och interna krav.
- Rapportera ISMS-prestanda, incidenter och revisionsfynd till senior ledning.
Kravprofil: kompetens och erfarenhet
Krav (enligt annonsen)
- Kandidatexamen inom informationssäkerhet, datavetenskap eller närliggande område (masterexamen anges som önskvärd).
- Minst 5 års erfarenhet inom informationssäkerhet och/eller närliggande funktioner (exempelvis IT-revision eller IT-riskhantering), varav minst 2 år inom ISMS-hantering.
- Erfarenhet inom flera områden, såsom plattformsäkerhet, molnsäkerhet, dataskydd, nätverkssäkerhet, säkerhetsbedömningar, säkerhetsstyrning, incidentrespons och compliance-/revisionsarbete.
- God förståelse för regelverk inom hälso- och sjukvård samt dataskydd.
- Erfarenhet av riskhanteringsverktyg, GRC-plattformar och revisionsprocesser.
- Starka kommunikations-, ledarskaps- och projektledningsförmågor samt förmåga att hantera flera parallella prioriteringar.
- Kompetens i både teknisk och verksamhetsnära miljö, inklusive erfarenhet av kontinuitetsplanering, disaster recovery, revision, riskhantering, sårbarhetsanalys och hantering av cybersäkerhetsincidenter.
Meriterande (enligt annonsen)
- Masterexamen (anges som “preferred”).
- Certifieringar såsom CISM, CISSP, ISO 27001 Lead Implementer/Auditor eller HITRUST Certified.
- Erfarenhet från global, högteknologisk säkerhetsroll med kombination av risk management, informationssäkerhet, business continuity och security operations.
- Flytande engelska; svenska anges som meriterande.
Vilken typ av säkerhetsroll är det?
Tjänsten är tydligt förankrad i informationssäkerhet/IT-säkerhet och cybersäkerhet, med fokus på styrning, riskhantering och regelefterlevnad genom ett ISMS enligt ISO/IEC 27001. Annonsen pekar också på ett starkt compliance-inslag kopplat till GDPR och vårdrelaterade regelkrav, samt på tredjepartsrisker, audit/assurance och samverkan med gruppfunktioner för att införa säkerhetskontroller i tekniska leveransflöden (CI/CD).
Även om rollen inte benämns som CISO eller säkerhetschef, innehåller ansvaret flera ledningsnära delar: att leda ett säkerhetsråd, sätta struktur, driva förbättringsarbete och rapportera status och avvikelser till senior ledning.
Det här bör kandidater lyfta i ansökan
För att matcha annonsens kravbild kan det vara relevant att konkretisera exempel inom följande områden:
- Praktisk erfarenhet av att bygga, införa och driva ett ISMS enligt ISO/IEC 27001 (inklusive internrevisioner, gap-analyser och förbättringsplaner).
- Riskhantering i praktiken: metodik, riskregister, riskbehandling och hur risker rapporteras och följs upp mot verksamhetsmål.
- Efterlevnad och audit: hur du skapar revisionsbara underlag, spårbarhet i kontroller och uppföljning av avvikelser.
- Tredjepartsrisker: leverantörsbedömningar, frågeformulär/underlag, samt prioritering av åtgärder vid brister hos kritiska leverantörer.
- Samarbete mellan funktioner (exempelvis operations, quality/regulatory, product security, privacy och group security) och hur du får genomslag för roller/ansvar i organisationen.
- Incident- och förbättringsarbete: hur incidenter och revisionsfynd omsätts till mätbara förbättringar i både tekniska kontroller och compliance.
- Erfarenhet av GRC-verktyg och hur dessa använts för styrning, rapportering och kontrolluppföljning.
Så söker du tjänsten
I annonsen framgår att Philips uppmuntrar intresserade kandidater att ansöka även om man inte uppfyller alla krav. Exakt ansökningssätt (t.ex. länk, e-post eller rekryteringssystem) framgår inte av den information som anges här, och någon sista ansökningsdag anges inte heller.
Sammanfattningsvis signalerar annonsen ett tydligt kompetensbehov inom ISMS-styrning, ISO 27001, riskhantering och regulatorisk efterlevnad i en verksamhet med höga krav på skydd av data och spårbarhet i kontroller.
