Federal Information Security Management Act är en federal lag i USA som antogs 2002. Lagen i sig erkänner vikten av informationssäkerhet för de nationella och ekonomiska säkerhetsintressena i USA. FISMA kräver att alla federala myndigheter utvecklar, implementerar och dokumenterar program för att tillhandahålla säkerhet för sina informations- och informationssystem.
Behovet av onlinesäkerhet betonas i Federal Information Security Management Act. Det ger Office of Management and Budget (OMB) och National Institute of Standards and Technology (NIST) ansvar för att stärka informationssäkerheten. Informationssäkerhet innebär att skydda information och informationssystem mot obehörig åtkomst, avbrott, avslöjande, ändring, användning eller förstörelse.
Federal Information Security Management Act säger att NIST ansvarar för utvecklingen av adekvat informationssäkerhet för alla statliga myndigheter utom nationella säkerhetssystem. NIST skapade standarder och riktlinjer för informationssäkerhet som måste följas av alla statliga myndigheter, och den arbetar med var och en för att säkerställa korrekt förståelse och implementering av FISMA. NIST måste också mäta effektiviteten av FISMA:s implementering.
Myndigheter måste inventera alla informationssystem som drivs av eller står under myndighetens kontroll. Inventeringen måste identifiera gränssnitten mellan varje sådant system och alla andra system, inklusive de som inte står under den myndighetens kontroll. Byrån måste sedan kategorisera informations- och informationssystemen efter risknivå som definieras av Federal Information Security Management Act-standarder och riktlinjerna som anges av NIST.
FISMA kräver att minimisäkerhetskrav ska uppfyllas av alla statliga myndigheter. Det möjliggör en viss flexibilitet i tillämpningen av minimisäkerhetsstandarderna för att möta alla byråers specifika uppdrag och operativa miljöer. Varje byrå måste dokumentera sina minimisäkerhetskrav.
Alla myndigheter måste underkasta sig riskbedömning för att verifiera sina säkerhetskontroller och avgöra om ytterligare kontroller krävs för den minsta säkerhet som redan fastställts av FISMA och NIST. All denna information sammanställs sedan i ett dokument som registrerar milstolpar och handlingsplaner. Detta dokument granskas regelbundet och kan ändras vid behov. Det är huvudinsatsen och bidraget i certifierings- och ackrediteringsdelen av FISMA.
Efter alla andra steg i FISMAs informationssäkerhetsinitiativ kommer säkerhetssystemets kontroller och säkerhetsplan att granskas. Efter granskningen godkänner en högre tjänsteman från myndigheten driften av informationssystemet och accepterar riskerna och kontrollerna i det. Informationssystemet är ackrediterat. Varje ackrediterat system krävs för att övervaka en uppsättning säkerhetskontroller. Skulle säkerhetssystemet förändras i stor utsträckning krävs en uppdaterad riskbedömning, liksom eventuell förändring av kontrollerna.