Informationssäkerhet är ett växande problem bland organisationer. Ett stort antal säkerhetsöverträdelser innefattar vårdslöshet bland anställda eftersom den mänskliga uppförande anses vara den viktigaste faktorn för informationssäkerhet. Därför är det avgörande för organisationer att utveckla en informationssäkerhetskultur. Syftet med denna studie är att öka vår förståelse av informationssäkerhetskulturen och belysa människans roll i informationssäkerhet. En kvalitativ systematisk litteraturöversikt från 2015 till 2019 gav 27 journalartiklar som identifierade nyckelkoncept inom forskningsområdet. Resultatet uppvisar fyra olika konceptkategorier; Förstå informationssäkerhetskultur, Informationssäkerhetspolicy lydnad, Kognition och medvetenhet. 26% försökte definiera och konceptualisera och även mäta informationssäkerhetskultur. 44,4% diskuterade Informationssäkerhetskultur som lydighet med ISP, 22,2% påpekar säkerhetsbeteende med hjälp av kognitiva modeller, och slutligen 7,4% kännetecknar kunskap och medvetenhet som motiverande faktor för informationssäkerhetskultur. Dessa resultat tyder på att informationssäkerhetskultur är ett framväxande område och att mänskligt beteende går utöver policy lydighet. Akademiker föreslår att samhällsvetenskapliga tillvägagångssätt ger djupare förståelse för mänskligt organisatoriskt beteende mot säkerhet. Organisationer bör därför kultivera ISC genom att uppmuntra anställda att bete sig informationssäkert snarare än att bete sig enligt policyriktlinjer.

Information security is a growing concern among organisations. A large number of security breaches involve employee negligence as human activity is considered as a critical factor in information security. Therefore, organisations must cultivate an information security culture (ISC). The purpose of this study is to enhance our understanding of information security culture and elucidate the human’s role in information security. A qualitative systematic literature review from 2015 to 2019 yielded 27 journal articles which identified key concepts within the research field. Result demonstrate four sets of concept categories; Understanding ISC, Information Security Policy (ISP) compliance, Cognition and Awareness. 26% attempted to conceptualise measure ISC, 44.4% discussed ISC as compliance with ISP, 22.2% points out security behaviour with cognitive models, and finally 7.4% attribute awareness training as motivating factor for ISC. These findings suggest that ISC is a nascent field and that human behaviour goes above and beyond policy compliance. Academics suggest that social science approaches provide a deeper understanding of human organisational behaviour towards security. Organisations should cultivate ISC by encouraging employees to behave securely rather than behave as directed by policies.