Puzzel rekryterar CISO/DPO i Stockholm – ISO 27001, SOC 2

Ny CISO/DPO-tjänst hos Puzzel i Stockholm (hybrid, även Oslo/Köpenhamn). Ansvar: ISO 27001, SOC 2, privacy governance, SDLC, incidentledning och ledarskap.

Ny tjänst: Puzzel söker Chief Information Security Officer – CISO i Stockholm – det här söker arbetsgivaren

Puzzel söker Chief Information Security Officer – CISO i Stockholm. Enligt annonsen är rollen samtidigt bolagets Data Protection Officer (DPO) och ska ansvara för informationssäkerhet, integritetsstyrning (privacy governance) och säkerhetsgranskning/säkerhetsförsäkran (security assurance) – med fokus på kundförtroende, regelefterlevnad och hantering av säkerhets- och integritetsrisker i organisationen.

Tjänsten kan även placeras i Oslo eller Köpenhamn, med en ungefärlig förväntan om 2–3 dagar per vecka på kontoret (hybrid). Rollen rapporterar till CTO med streckad rapportering till CEO. Annonsen beskriver att den kan passa en nuvarande CISO i en mindre organisation eller en Senior Security (& Compliance) Manager som tar klivet till sin första CISO-roll.

Ansvar och arbetsuppgifter

Utifrån annonsen omfattar uppdraget både styrning, efterlevnad och operativt säkerhetsledarskap inom informationssäkerhet och dataskydd. Centrala ansvarsområden är:

Säkerhetsstyrning och riskhantering: definiera och förvalta säkerhetspolicyer, standarder och ramverk för säkerhetsriskhantering samt säkerställa att risker identifieras, bedöms, hanteras och eskaleras – inklusive styrning för riskacceptans.
Säkerhetsförsäkran, revision och compliance: leda säkerhetsgranskningar och externa revisioner/attesteringar relevanta för verksamheten (exempelvis ISO-standarder, SOC-rapporter och kundkrav), samt driva kontrollägarskap, evidenshantering och revisionsprocesser.
Integritetsstyrning (DPO): agera formell DPO där tillämpligt och ansvara för privacy governance, inklusive privacy-by-design, DPIA vid behov, DSAR-styrning, register över behandlingar och leverantörsuppföljning av integritetsfrågor.
Produkt- och plattformssäkerhet: ge strategisk riktning och översyn av produkt- och plattformssäkerhet, inklusive förväntningar på säker utveckling (SDLC) och styrning av sårbarhetshantering.
Incidentberedskap och incidenthantering: äga ramverk för säkerhetsincidenter – förberedelse, eskalering, koordinering, kommunikation och lärande efter incident.
Ledarskap och samverkan: leda säkerhets- och compliancefunktionen och utveckla arbetssätt med produkt, utveckling, operations, finans, juridik med flera, samt kommunicera säkerhets- och integritetsläge, risker och prioriteringar till ledning och relevanta forum.

Annonsen anger även att CISO har mandat att definiera säkerhets- och integritetskrav samt eskalera väsentliga risker. Rollen ska också kunna rekommendera och, när policy medger, genomdriva riskbaserade begränsningar vid releaser eller förändringar när kritiska säkerhets- eller integritetsproblem upptäcks.

Kravprofil: kompetens och erfarenhet

Krav

Erfarenhet av att leverera ISO 27001-program (gärna med erfarenhet av omcertifiering). Annonsen nämner även gärna ISO 27701 eller motsvarande program för integritets-/privacy management.
Erfarenhet av SOC 2 readiness och stöd i testning, inklusive operativa processer för evidens.
Förmåga att leda tvärfunktionellt kontrollägarskap (control ownership).
Trovärdighet i samarbete med engineering- och produktteam samt pragmatisk tillämpning av säkerhet i SDLC.
Dokumenterad förmåga inom privacy governance och att arbeta i DPO-roll i nära samarbete med Legal.
Stark kommunikation på exekutiv nivå – kunna briefa CEO och “board sponsor” tydligt.
Direkt personalansvarserfarenhet; i rollen ingår ledning av ett team om tre personer enligt annonsen.

Meriterande

Erfarenhet av säkerhet kopplat till generativ/agentisk AI och motåtgärder mot relevanta hot.
Erfarenhet från en SaaS-organisation med cirka 100–500 anställda.

Vilken typ av säkerhetsroll är det?

Det här är en ledande roll inom informationssäkerhet/IT-säkerhet och cybersäkerhet, med tydlig tyngdpunkt på styrning, riskhantering och efterlevnad. Annonsen kopplar rollen nära till revision och ramverk (ISO 27001, SOC 2) samt till integritet och dataskydd genom att CISO även ska agera som DPO.

Uppdraget har också en tydlig dimension av säkerhetsledning i teknik- och produktutveckling, genom krav på SDLC-säkerhet, sårbarhetshantering och operativ säkerhetsöversyn av plattform och produkt. Fokus ligger därmed på informationssäkerhet, privacy och säkerhetsstyrning snarare än exempelvis fysiskt skydd, personalsäkerhet eller säkerhetsskydd (som inte beskrivs i annonsen).

Det här bör kandidater lyfta i ansökan

För att matcha annonsens kravbild kan det vara relevant att konkretisera följande i CV och intervjuer:

Exempel på genomförda ISO 27001-program, inklusive hur styrning, kontrollägarskap och evidenshantering byggts upp och förvaltats.
Erfarenheter av SOC 2 readiness och hur man etablerat fungerande processer för “operational evidence”.
Hur du arbetat med riskhanteringsramverk, riskacceptans och eskaleringsvägar – gärna med tydliga beslutsunderlag till ledning.
Konkreta exempel på privacy governance: privacy-by-design, DPIA, DSAR, register över behandlingar och leverantörsuppföljning.
Samverkan med juridik (Legal) kring tolkning, avtalskrav och eventuella regulatoriska notifieringar, i linje med DPO-uppdraget som beskrivs.
Incidentberedskap: hur incidentprocesser etablerats, övats och förbättrats, inklusive kommunikation och “lessons learned”.
Ledarskap: erfarenhet av att leda team (i detta fall tre direktrapporterande) och driva förändring tvärfunktionellt med produkt och engineering.

Så söker du tjänsten

Annonsen beskriver ingen specifik ansökningslänk i det material som framgår här, men anger att rekryteringsprocessen består av screening call med Talent Acquisition, första intervju med CTO, en case-presentation samt slutintervju med CEO.

Sista ansökningsdag framgår inte i annonsen. Annonsen anger också att arbetsgivaren inte kan erbjuda sponsring och att du behöver ha rätt att arbeta i det land du söker till (arbets-/uppehållstillstånd).

Sammanfattningsvis signalerar Puzzels rekrytering ett tydligt behov av en senior säkerhetsledare som kan kombinera informationssäkerhet, compliance och integritetsstyrning (DPO) i en SaaS-/molnkontext – och samtidigt bygga förtroende hos både kunder och intern ledning genom strukturerad risk- och revisionsförmåga.