Trustly: Information Security Officer, Stockholm – GRC & ISO 27001

Analys av Trustlys tjänst Information Security Officer i Stockholm: ansvar, krav och meriter. Fokus på GRC, ISO 27001, tredjepartsrisk, DORA/NIS2 samt BCP/DR.

Ny tjänst: Trustly söker Information Security Officer i Stockholm – det här söker arbetsgivaren

Trustly söker Information Security Officer i Stockholm. Rollen är tydligt inriktad på styrning, risk och regelefterlevnad inom informationssäkerhet i en reglerad miljö kopplad till betalningar och finansiella tjänster. Enligt annonsen ska du utveckla och förvalta Trustlys informationssäkerhetsramverk (ISMS), driva riskhantering och bidra till att bolagets säkerhets- och kontinuitetsförmågor möter regulatoriska krav och branschstandarder.

Arbetsform, anställningsform, omfattning och sista ansökningsdag framgår inte i annonsen.

Ansvar och arbetsuppgifter

I rollen som Information Security Officer beskriver Trustly ett brett ansvar över governance, risk, compliance, tredjepartsrisk samt incident- och kontinuitetsprocesser. Arbetsuppgifterna omfattar bland annat:

Utveckla, förvalta och kommunicera Trustlys informationssäkerhetsramverk (ISMS), inklusive instruktioner och rutiner i linje med regulatoriska krav och branschstandarder.
Leda informationssäkerhetsriskbedömningar, definiera och följa upp riskbehandlingsplaner samt hålla riskregistret uppdaterat.
Bedöma säkerhetsnivån hos tredje parter (leverantörer/partners) vid onboarding och i löpande uppföljning, formulera avtalskrav samt driva åtgärdande av identifierade gap.
Säkerställa att business continuity, disaster recovery och krishanteringsförmåga uppfyller regulatoriska krav och testas regelbundet.
Definiera och underhålla säkerhetskontroller inom exempelvis access management, intern bedrägeriprevention, övervakning samt separation of duties.
Säkerställa efterlevnad av tillämpliga regler, avtalskrav och standarder samt koordinera och stötta interna och externa revisioner, audit och certifieringar.
Besvara kunders due diligence-förfrågningar, säkerhetsfrågeformulär och leverantörsbedömningar.
Driva säkerhetsmedvetenhet i organisationen genom utbildning, kommunikation och vägledning.
Förvalta processen för säkerhetsincidenter samt undantags- och riskacceptansprocessen, inklusive dokumentation och godkännande på rätt nivå.
Agera ställföreträdare för Director of Security vid behov.

Kravprofil: kompetens och erfarenhet

Krav

Minst 5 års erfarenhet inom informationssäkerhet, med fokus på governance, risk management eller compliance (GRC), gärna i reglerade finansiella tjänster eller betalningar.
Erfarenhet av att leda och bygga team och/eller driva större projekt.
Stark praktisk kunskap om ISO/IEC 27001.
Praktisk erfarenhet av att omsätta regulatoriska krav till policy och process, med exempel som DORA, NIS2, PSD2 och EBA-riktlinjer.
Dokumenterad erfarenhet av tredjepartsriskhantering genom hela leverantörslivscykeln.
Mycket god kommunikativ förmåga i tal och skrift, inklusive att kunna skriva policy, presentera för större grupper och ge råd till seniora beslutsfattare.
Förmåga att driva tvärfunktionella initiativ och påverka intressenter på olika nivåer.
Flytande engelska i tal och skrift (svenska är inte ett krav).

Meriterande

Kännedom om ramverk som NIST Cybersecurity Framework (NIST CSF).
Relevanta certifieringar (aktiva eller utgångna) såsom CISM, ISO 27001 Lead Implementer, CISA, CISSP eller liknande.
Svenska språkkunskaper.

Vilken typ av säkerhetsroll är det?

Annonsen positionerar tjänsten som en informationssäkerhetsroll med tydlig tyngdpunkt på GRC: styrning (policy/ISMS), riskhantering, regelefterlevnad samt tredjepartsrisk. Den innehåller också delar som ofta ligger nära operativ IT-säkerhet och cybersäkerhet i praktiken, exempelvis incidentprocess, access management-kontroller och övervakning.

Samtidigt har rollen ett uttalat ansvar för beredskapsnära områden i form av business continuity, disaster recovery och krishantering, inklusive krav på regelbundna tester i linje med regulatoriska förväntningar.

Det här bör kandidater lyfta i ansökan

För att matcha det Trustly efterfrågar bör sökande kunna konkretisera erfarenhet och resultat inom följande:

Hur du har byggt, förvaltat eller vidareutvecklat ett ISMS enligt ISO/IEC 27001 (t.ex. policystruktur, styrande dokument, kontrollbibliotek, uppföljning).
Exempel på riskbedömningar och riskbehandlingsplaner du lett, inklusive hur riskregister hållits aktuellt och hur uppföljning säkrats.
Praktiska case där du omsatt regulatorik (t.ex. DORA, NIS2, PSD2 eller EBA-riktlinjer) till konkreta processer, kontroller och dokumentation.
Tredjepartsrisk: hur du genomfört leverantörsgranskningar, ställt säkerhetskrav i avtal och drivit åtgärdsplaner när brister hittats.
Kontinuitet och kris: hur du arbetat med BCP/DR och testning/övning, samt hur du säkerställt att krishanteringsförmåga möter krav.
Incident- och undantagshantering: hur processer för incidenter, avvikelser, riskacceptans och beslutsnivåer utformats och dokumenterats.
Revisioner och due diligence: erfarenhet av att stötta interna/externa audits, besvara säkerhetsfrågeformulär och kundkrav på säkerhetsbevisning.
Förmåga att driva förändring tvärfunktionellt och kommunicera tydligt med både tekniknära och verksamhetsnära intressenter.

Så söker du tjänsten

Enligt annonsen ska ansökan skickas in med CV på engelska. Trustly uppger också att de kan använda AI-verktyg som stöd i delar av rekryteringsprocessen (exempelvis granskning av ansökningar och analys av CV), medan slutligt beslut fattas av människor. Sista ansökningsdag framgår inte.

Sammanfattningsvis signalerar annonsen att Trustly söker en senior Information Security Officer i Stockholm med stark ISO 27001-förankring, vana att tolka regulatoriska krav och förmåga att driva GRC, tredjepartsrisk och kontinuitetsarbete i en betalnings- och regelefterlevnadsintensiv miljö.

BESTÄLL VÅRT KOSTNADSFRIA NYHETSBREV