DR! Göteborgs universitet - Informationssäkerhetskonsult - Nivå 3 - diarienummer EUI 22 050

TO DO

CV

MOTIVERA SKA-KRAV

MOTIVERA BÖR-KRAV

ROLL: Informationssäkerhetskonsult Nivå 3

UPPDRAGSSTART: 2024-11-01

UPPDRAGSSLUT: Enligt överenskommelse eller när vi nått max 700h

STATIONERINGSORT:

PRIS. TAK: Enligt ök

OMFATTNING: Initialt min 50% upp till 75% beroende på profil

Antal konsulter att presentera: 1-3st

Beskrivning av uppdraget:

Verksamhetsstödet för informationssäkerhet ligger inom enheten för juridik och informationsförvaltning. Verksamheten har varit under utveckling sedan flera år tillbaka och det finns för närvarande endast en person i stödet, en informationssäkerhetschef. Behovet av stöd inom forskning, utbildning och administration är stort och enheten arbetar aktivt för att bygga upp en långsiktigt hållbar och ändamålsenlig stödstruktur.

I väntan på att en informationssäkerhetssamordnare finns på plats behövs det förstärkning inom området på GF med en informationssäkerhetskonsult.

Konsulten kommer dels att stötta Personalenheten med genomförande av systemanalyser, dels stötta Informationssäkerhetsfunktionen med framtagning av ny informationsklassningsmodell med tillhörande styrdokument samt utbildning.

Uppdraget omfattar genomförandet av fyra huvudsakliga analyser för fem system på Personalenheten: tröskelanalys, riskanalys, konsekvensbedömning och informationsklassning.

Tröskelanalysen innebär att samla in relevant data för varje system, genomföra en detaljerad analys av systemens trösklar och dokumentera resultaten. Resultaten sammanställs för att ge en tydlig överblick av systemens kritiska punkter.

Riskanalysen fokuserar på att identifiera och bedöma risker för varje system. Här ingår att bedöma sannolikhet och konsekvens av identifierade risker samt att dokumentera analysen i en rapport för vidare åtgärdsplanering.

Konsekvensbedömningen syftar till att identifiera möjliga konsekvenser av olika scenarier för systemen samt bedöma hur allvarliga dessa konsekvenser kan vara. Resultaten sammanfattas i en rapport för att ge en tydlig bild av den potentiella påverkan.

Informationsklassningen innebär att identifiera och klassificera information i systemen utifrån dess känslighet och affärsvärde. Arbetet resulterar i en detaljerad klassificering som ligger till grund för säkerhetshantering och skyddsåtgärder.

Uppdraget omfattar analys och dokumentation för alla fem system, med målet att säkerställa en omfattande bedömning av risker, konsekvenser och informationshantering.

Arbetsuppgifter:

• Bidra till utvecklingen av universitetets nya informationsklassningsmodell

• Genomföra tröskelanalys, riskanalys, konsekvensbedömning och informationsklassning för fem system på personalenheten.

• Dokumentering

SKA KRAV:

1. Flerårig erfarenhet av att arbeta med informationssäkerhetsfrågor, både strategiskt och operativt.

2. Tagit fram eller bidragit till framtagande av styrande dokument inom informationssäkerhet.

3. Erfarenhet av att genomföra riskanalyser och bedömningar av IT-system, inklusive att identifiera och utvärdera sannolikheter och konsekvenser av olika risker.

4. Förståelse för tröskelanalys, där kritiska punkter i system identifieras för att säkerställa optimal funktion och säkerhet.

5. Kunskap om konsekvensbedömning, för att kunna förutse och utvärdera effekterna av olika incidenter och förändringar på systemen och verksamheten.

6. Djupgående kunskap om informationsklassning och erfarenhet av att klassificera information utifrån dess känslighet och affärsvärde enligt etablerade ramverk och modeller.

7. Förståelse för informationssäkerhetsstandarder, såsom ISO 27001, för att säkerställa att klassificeringen leder till rätt säkerhetsåtgärder.

8. Teknisk kunskap och erfarenhet av att arbeta med olika IT-system för att kunna förstå deras struktur och sårbarheter.

9. Förmåga att analysera systemens arkitektur och funktionalitet för att identifiera både trösklar och potentiella risker.

10. Stark analytisk förmåga för att kunna identifiera och förstå komplexa samband mellan systemfunktioner och potentiella risker eller konsekvenser.

11. Förmåga att utveckla strategier och rekommendationer baserade på analysen för att minimera risker och optimera informationshanteringen.

12. Förmåga att samarbeta med olika avdelningar och roller inom en organisation för att samla in nödvändiga data och genomföra analyser effektivt.

13. Förmåga att kommunicera både tekniska och icke-tekniska resultat till intressenter på olika nivåer.

14. Erfarenhet av att dokumentera riskanalyser, konsekvensbedömningar och informationsklassning på ett tydligt och strukturerat sätt, inklusive rapportskrivning.

BÖR-KRAV:

1. Erfarenhet av arbete inom en statlig myndighet

2. Certifieringar inom informationssäkerhet

3. Relevant akademisk bakgrund