Beskrivning av tjänsten/uppdraget:

Avser arbete på en strategisk nivå med granskning, kontroll och uppföljning av IT-säkerhet i verksamheten, samt till viss del även praktisk spjutspetsteknik. Alltmer komplexa nätstrukturer och applikationsberoenden ställer höga krav på IT-säkerhetskompetens inom områden såsom serveroperativsystem, datakommunikation (nätoperativsystem) och relaterade säkerhetsåtgärder och produkter. Kunden har ett stort antal system i drift, i egen eller annans regi. Säkerheten i dessa system behöver fortlöpande analyseras med utgångspunkt från tillgänglighet och sårbarhet samt sättas i relation till system-/informationsägarnas styrdokument för informationssäkerhet, systemklassning, användning och en analys av skyddsvärde och hotbild. Vid anskaffning och införande av nya system behöver verksamhetens krav på säkerhet omformuleras i krav på tekniska IT-säkerhetsåtgärder. Därefter behöver implementerade lösningar analyseras (inkl. tekniska penetrationstester) med hänsyn till säkerhet och sårbarhet.

IT-miljö:

Konsulten ska arbeta med av Infrastrukturstaben tillhandahållna IT-stöd anpassat för säkerhetsskyddsnivån.

Kompetenskrav:

• 1.1 Konsulten ska vara minst kompetensnivå 4
• 1.2 Konsulten ska ha arbetat i minst 2 större implementationsprojekt (3-5 år) genom alla faser inom området IT-säkerhetsarkitektur. Att ha arbetat i alla faser kan ha uppnåtts inom flertalet olika projekt
• 1.3 Konsulten ska ha arbetat med förvaltning av större system och infrastrukturer (minst 2000 användare) med IT-säkerhetsarkitektur
• 1.4 Konsulten ska ha arbetat med KSF (Krav på IT-säkerhetsförmågor hos IT-system v3.1) och omsatt dessa krav till lösningar inom både projekt och förvaltning
• 1.5 Konsulten ska ha arbetat med kravställning av IT-säkerhetsarkitektur både ur ett framtagnings- och analysperspektiv i projekt och förvaltning
• 1.6 Konsulten ska ha arbetat med och kravställt tester kopplat till IT-säkerhet ur ett säkerhets- och sårbarhetsperspektiv inklusive penetrationstester
• 1.7 Konsulten ska ha arbetat med och kravställt på rollbaserade behörighetssystem samt intrångsskydd kopplat till detta
• 1.8 Konsulten ska ha arbetat med omvärldsbevakning inom IT-säkerhetsområdet och omsatt detta till faktiska åtgärder i system- och infrastrukturlandskap
• 1.9 Konsulten ska ha arbetat med informationsanalys och omsatt analysen till lösningar för IT-säkerhetsskydd inom system och infrastruktur

Börkrav:

• Konsulten bör ha en certifierad IT-säkerhetsutbildning ex CISSP, CISM, CISA eller motsvarande
• Konsulten bör ha erfarenhet av att ha arbetat med EA-verktyg
• Konsulten bör ha erfarenhet av att driva projekt eller ha en ledande roll inom förvaltning i området IT-säkerhet