IT-säkerhetsrevisor

Vår kund söker konsultstöd som ska ingå i ett granskningsteam och bidra med specialistkompetens inom IT-säkerhet kopplat till systemutveckling, i kombination med erfarenhet av revision eller utredande granskning.Konsulten förväntas:Bidra till identifiering och konkretisering av relevanta granskningsfrågor och riskområden.Delta i intervjuer med verksamhet, IT-funktioner och säkerhetsspecialister.Granska och bedöma underlag såsom:interna styrande dokument och riktlinjerkravställning och avrop/uppdragsbeskrivningar för penetrationstesterrapporter och resultat från genomförda säkerhetstesterBedöma hur identifierade brister hanteras, följs upp och återförs till utvecklings- och förvaltningsorganisationen.Medverka i formulering av revisionsanpassade observationer, rekommendationer och övergripande slutsatser.Arbetet genomförs i nära samverkan med uppdragsgivarens internrevision och enligt etablerad internrevisionsmetodik.Omfattning och tidsperiodKonsultinsatsen omfattar maximalt 100 timmar.Uppdraget förväntas genomföras huvudsakligen under perioden maj–juni.Profil och meriterKompetensprofilSenior konsult med djup kompetens inom IT-säkerhet kopplat till systemutveckling samt dokumenterad erfarenhet av revision, granskning eller utredning. Konsulten ska kunna kombinera teknisk expertis med ett strukturerat revisionsperspektiv.KompetenskravFlerårig erfarenhet av IT-säkerhet i utvecklings- och förändringsmiljöerPraktisk och teoretisk kunskap om säkerhetstestning, särskilt penetrationstestningFörståelse för Secure SDLC, vanliga sårbarheter och angreppsmetoder (t.ex. OWASP)Erfarenhet av att granska styrande dokument, avrop/uppdragsbeskrivningar och testresultatVana att identifiera risker, bedöma efterlevnad och formulera tydliga observationer och slutsatserGod kännedom om relevanta ramverk och standarder (t.ex. ISO 27001, NIST)Erfarenhet av intervjuer och dialog med både tekniska specialister och verksamhetFörmåga att arbeta enligt etablerad internrevisionsmetodikMeriterandeCertifieringar såsom CISA, CISSP, CISM eller motsvarandeErfarenhet från större eller komplexa organisationerAnbudssvar och utvärderingskriterierFöljande underlag önskas för bedömning:CV för den tilltänkta konsulten, inklusive relevant yrkeserfarenhet, certifieringar och utbildningBeskrivning av konsultens erfarenhet inom IT-säkerhet kopplat till systemutveckling, inklusive arbete med eller granskning av säkerhetstestning och penetrationstestningBeskrivning av konsultens erfarenhet av revision, granskning eller utredande uppdrag, gärna inom internrevision eller motsvarande oberoende funktionKortfattad beskrivning av minst två relevanta uppdrag under de senaste två åren, med fokus på:utvärdering av säkerhetstestning, IT-säkerhet eller tekniska kontrollerbedömning av styrning, processer och efterlevnad av kravkonsultens egen roll och ansvar i uppdragenBeskrivningarna ska vara tillräckligt konkreta för att möjliggöra bedömning av konsultens relevans för aktuellt uppdrag, men behöver inte innehålla konfidentiell information.