Uppdragsbeskrivning

För Region Skånes räkning söker vi en senior informationssäkerhetsspecialist.

Uppdragets syfte är att säkerställa att informationssäkerhetsrisker hanteras på ett systematiskt sätt och att gällande lagar, föreskrifter och interna styrande dokument följs vid anskaffning av IT-system och digitala tjänster samt vid forskningsprojekt.

Konsulten kommer huvudsakligen att stödja säkerhetsenheten och verksamheten inom följande områden:

• Genomföra informationskartläggningar och informationsklassificeringar.
• Utföra riskanalyser och riskbedömningar kopplade till informationssäkerhet.
• Genomföra konsekvensbedömningar enligt dataskyddsförordningen (DPIA).
• Stödja kravuppfyllnad (compliance) gentemot aktuell lagstiftning, främst dataskyddsförordningen (GDPR), cybersäkerhetslagen, patientdatalagen, offentlighets- och sekretesslagen (OSL), Socialstyrelsens föreskrifter och andra relevanta regelverk.
• Genomföra olämplighetsanalyser vid utkontraktering enligt OSL.
• Stödja kravställning avseende informationssäkerhet vid upphandlingar och avrop.
• Ta fram beslutsunderlag inför driftgodkännanden av system och andra informationssäkerhetsrelaterade beslut.

Arbetet sker i samverkan med verksamhetsrepresentanter, systemägare, jurist eller dataskyddsombud, säkerhetsenhet och IT-enhet.

Uppdraget avser en tillfällig förstärkning inom det ovan beskrivna området. Den exakta omfattningen avgörs av verksamhetens behov och kan variera över tid. Uppdraget kan förlängas med tre månader i taget. Besked om förlängning ges minst en månad före den innevarande periodens slut.

Erfarenhet

• Minst några års dokumenterad erfarenhet av praktiskt informationssäkerhetsarbete.
• Erfarenhet av att arbeta strukturerat med riskhantering och informationsklassificering.
• Erfarenhet av att arbeta med dataskydd, kravuppfyllnad och konsekvensbedömningar.
• Erfarenhet av arbete i reglerad verksamhet, gärna inom offentlig sektor.
• Erfarenhet av granskning av personuppgiftsbiträdesavtal, säkerhetsbilagor och avtalade kontroller.

Kompetens

• God kompetens inom informationssäkerhet, särskilt inom riskhantering, informationsklassificering och säkerhetskrav kopplade till system och information.
• God kunskap om tillämpliga regelverk inom informationssäkerhet, såsom cybersäkerhetslagen, patientdatalagen, Socialstyrelsens föreskrifter och dataskyddsförordningen (GDPR).
• God IT-förståelse.
• Förmåga att på ett överskådligt och pedagogiskt sätt kartlägga hur system, informationsflöden och verksamhetsprocesser hänger samman.
• Förmåga att analysera molntjänster, underleverantörer och leverantörskedjor.
• Förmåga att hålla workshoppar och intervjuer.
• Förmåga att omsätta regelverk till konkreta krav och praktiska åtgärder.
• Förmåga att dokumentera och formulera besluts- och underlagsmaterial på ett tydligt och strukturerat sätt.

Meriterande kompetens

• Erfarenhet av arbete enligt ISO/IEC 27000-serien.
• Erfarenhet av offentliga upphandlingar ur ett informationssäkerhetsperspektiv.
• Erfarenhet av arbete i större organisationer med komplexa systemmiljöer.
• Erfarenhet av samverkan mellan juridik, verksamhet och IT.

Egenskaper

• Ödmjuk och lyhörd, med förmåga att möta verksamheten på dess nivå.
• Pedagogisk och kommunikativ, med förmåga att förklara komplexa säkerhetsfrågor på ett begripligt sätt.
• Strukturerad och analytisk.
• Självständig men samarbetsorienterad.

Tillhör kategori: Säkerhet – Informationssäkerhetsspecialist

Vid frågor, vänligen kontakta: 

Isabella Nilsson: isabella.nilsson@upgraded.se | +46 (0)70 859 99 34

Upgraded People tillsammans med Region Skåne agerar i enighet med och står bakom EUs och Sveriges sanktioner mot Ryssland och de som omfattas av dessa. Det medför att leverantörer som svarar på anbud för att leverera kompetens via Upgraded People till Region Skåne ger egen garanti om att leverantören ej omfattas av sanktionerna, och sedermera står bakom dessa med samma ståndpunkt.