Statsbygg arbeider med å implementere en informasjonssikkerhetsfunksjon parallelt med og som en del av en funksjon for virksomhetsarkitektur. Statsbygg har som mål selv å inneha kritisk arkitektkompetanse, herunder sikkerhetsarkitekt. Vi har gjennom en intern rekrutteringsprosess identifisert en kandidat til denne rollen. Det vil imidlertid ta noe tid å få frigjort kandidaten helt fra andre oppgaver og å bygge den kompetansen vi mener er nødvendig for å fylle en slik rolle. 

I den forbindelse er vi ute etter å engasjere en sikkerhetsarkitekt som kan fungere i rollen som sikkerhetsarkitekt en overgangsperiode og bidra med kompetansebygging av vår interne kandidat. Sikkerhetsarkitekten skal kunne virke både som virksomhetsarkitekt og som løsningsarkitekt.

Sikkerhetsarkitekten vil knyttes til seksjon for Virksomhetsarkitektur og utvikling og rapportere til leder for seksjonen, men vil også samarbeide tett med CISO. 

Statsbygg har valgt TOGAF som rammeverk for virksomhetsarkitektur og tar utgangspunkt i ISO 27000-serien for styring av informasjonssikkerhet gjennom å adoptere NSM sine grunnprinsipper på området. 

Av prioriterte oppgaver vil vi nevne:

• Utvikle og vedlikeholde sikkerhetsarkitekturartefakter (modeller, maler, standarder og prosedyrer)  
• Bidra i utarbeidelse av overordnede arkitekturprinsipper for sikkerhet 
• Bidra i utarbeidelse av referansearkitektur for sikkerhet 
• Aktivt bidra til kompetansebygging av Statsbyggs interne kandidat
• Bidra i implementeringsarbeidet av arkitekturfunksjonen i Statsbygg
• Gjennomføre sikkerhetsvurderinger av interne systemer, applikasjoner og IT-infrastruktur som en del av organisasjonens generelle risikostyringspraksis 
• Gjennomføre sårbarhetsvurderinger og andre sikkerhetsvurderinger av systemer, og prioriterer utbedring basert på risikoprofilen til aktivaene og veiledning fra CISO 
• Støtte testing og validering av interne sikkerhetskontroller som anvist av CISO

Sikkerhetsarkitekten bør ha direkte, dokumentert og verifiserbar erfaring med følgende: 

• Erfaring med å bruke arkitekturmetoder som SABSA og TOGAF
• Utvikling av arkitekturprinsipper og referansearkitektur
• Direkte, praktisk erfaring med å administrere sikkerhetsinfrastruktur som brannmurer, IPSer, WAFs, endepunktbeskyttelse, SIEM og loggadministrasjonsteknologi 
• God generell kunnskap om IT-infrastruktur og nettverk 

Forskrifter, standarder og rammeverk 

• NSMs grunnprinsipper  
• ISO 27001/2/5
• Personopplysningsloven (GDPR) 
• Nasjonalt institutt for standarder og teknologi (NIST) Cybersecurity Framework (CSF) 

Konsulenten bør ha én eller flere av følgende sertifiseringer: ISC2s CISSP, ISACA's CISM, ISACA's CISA, The Open Groups TOGAF, SANS' GAIC, IAPP's CIPT  

Det forutsettes en 100 % stilling med gradvis nedtrapping ned mot 50 % gjennom perioden. 

Ved søknad trenger vi spisset CV i MS Office format, En kort beskrivelse på inntil 1 side på hvordan oppdraget er tenkt løst, samt informasjon om tilgjengelighet, pris og 2-3 referanser.