Ny tjänst: Trustly söker Information Security Officer i Stockholm – det här söker arbetsgivaren
Trustly söker Information Security Officer i Stockholm. Rollen har tydlig tyngdpunkt på styrning, risk och regelefterlevnad (GRC) inom informationssäkerhet, med ansvar för att vidareutveckla och driva företagets informationssäkerhetsramverk (ISMS), genomföra riskbedömningar och stödja efterlevnad av regulatoriska krav och branschstandarder.
I annonsen framgår att tjänsten även omfattar arbete med leverantörsrisker, incidentprocesser samt förmågor inom kontinuitet, disaster recovery och krishantering. Arbetsform (t.ex. hybrid/remote) och sista ansökningsdag framgår inte i annonsen.
Ansvar och arbetsuppgifter
Enligt annonsen ska Information Security Officer bland annat:
- Utveckla, förvalta och kommunicera Trustlys informationssäkerhetsramverk (ISMS), inklusive instruktioner och rutiner i linje med regulatoriska krav och industristandarder.
- Leda informationssäkerhetsriskbedömningar, definiera och följa upp riskbehandlingsplaner samt hålla riskregistret uppdaterat.
- Bedöma säkerhetsnivån hos tredjepartsleverantörer och partners vid onboarding och löpande uppföljning, definiera avtalskrav på säkerhet och driva åtgärder vid identifierade gap.
- Säkerställa att business continuity, disaster recovery och krishanteringsförmågor möter regulatoriska krav och testas regelbundet.
- Definiera och förvalta säkerhetskontroller inom exempelvis accesshantering, internt bedrägeriförebyggande arbete, övervakning samt segregation of duties.
- Säkerställa efterlevnad av tillämpliga regelverk, avtal och standarder samt koordinera och stödja interna och externa revisioner, auditer och certifieringar.
- Besvara kunders due diligence-frågor, säkerhetsfrågeformulär och leverantörsbedömningar.
- Driva säkerhetsmedvetenhet i organisationen genom utbildning, kommunikation och vägledning.
- Hantera säkerhetsincidentprocessen samt process för undantag och riskacceptans, inklusive dokumentation och godkännande på rätt nivå.
- Vara ställföreträdare för Director of Security vid behov.
Kravprofil: kompetens och erfarenhet
Krav
- Minst 5 års erfarenhet inom informationssäkerhet, med fokus på styrning, riskhantering eller regelefterlevnad (GRC), gärna i reglerade finansiella tjänster eller betalningar.
- Erfarenhet av att leda och bygga team och/eller driva större projekt.
- Stark praktisk kunskap om ISO/IEC 27001.
- Praktisk erfarenhet av att omsätta regulatoriska krav till policy och process, med exempel som nämns i annonsen: DORA, NIS2, PSD2 och EBA:s riktlinjer.
- Dokumenterad erfarenhet av tredjepartsriskhantering genom hela leverantörslivscykeln.
- Mycket god förmåga att kommunicera i tal och skrift, inklusive att skriva policyer, presentera brett och ge råd till ledning.
- Förmåga att driva tvärfunktionella initiativ och påverka intressenter på olika nivåer.
- Flytande engelska i tal och skrift.
Meriterande
- Kännedom om ramverk som NIST CSF.
- Relevanta certifieringar (aktiva eller utgångna) såsom CISM, ISO 27001 Lead Implementer, CISA, CISSP eller liknande.
- Svenska (bonus men inget krav enligt annonsen).
Vilken typ av säkerhetsroll är det?
Det här är i första hand en roll inom informationssäkerhet och IT-säkerhet med starkt inslag av governance, risk management och compliance. Annonsens fokus på ISMS (ISO/IEC 27001), riskregister och riskbehandling, tredjepartsrisk, revisioner/certifieringar samt hantering av due diligence- och säkerhetsfrågeformulär signalerar en tydlig GRC-profil.
Samtidigt ingår delar som beredskap i form av business continuity, disaster recovery och krishantering, samt incidenthantering och riskacceptansprocesser. Rollen är också kopplad till lag & rätt i praktiken genom att översätta regulatoriska krav (exempelvis DORA, NIS2, PSD2 och EBA-riktlinjer) till styrande dokument och arbetssätt.
Det här bör kandidater lyfta i ansökan
Utifrån annonsens krav och arbetsuppgifter kan det vara relevant att konkretisera:
- Hur du har byggt, förvaltat eller förbättrat ett ISMS enligt ISO/IEC 27001 (t.ex. policystruktur, kontroller, avvikelsehantering, ledningsgenomgångar).
- Exempel på genomförda riskbedömningar, hur risker dokumenterats i riskregister och hur riskbehandling följts upp över tid.
- Erfarenhet av leverantörs- och tredjepartsriskhantering: onboarding, löpande uppföljning, avtalskrav och remediation.
- Arbete med efterlevnad och revision: hur du stöttat interna/externa auditer, hanterat evidens, åtgärdsplaner och certifieringskrav.
- Kontinuitets- och krisförmåga: hur du planerat, kravställt och testat business continuity och disaster recovery.
- Incidentprocess och undantag/riskacceptans: hur du säkrat dokumentation, beslutsnivåer och spårbarhet.
- Din förmåga att kommunicera och driva förändring tvärfunktionellt, inklusive säkerhetsutbildningar och awareness-insatser.
- Regulatorisk tillämpning: konkreta exempel på hur du översatt krav (t.ex. DORA, NIS2, PSD2, EBA) till policy, process och kontroller.
Så söker du tjänsten
Trustly uppmanar kandidater att ansöka och skicka in CV på engelska. Sista ansökningsdag framgår inte i annonsen.
Annonsen anger också att Trustly kan använda AI-verktyg som stöd i delar av rekryteringsprocessen (exempelvis granskning av ansökningar och analys av CV), men att slutliga beslut fattas av människor.
Sammanfattningsvis är detta en informationssäkerhetsroll i Stockholm med tydlig GRC-inriktning, där ISMS, riskhantering, tredjepartsrisk och regulatorisk efterlevnad kombineras med kontinuitets- och incidentarbete i en betalnings- och finansnära miljö.
