Undang-Undang Manajemen Keamanan Informasi Federal adalah undang-undang federal Amerika Serikat yang disahkan pada tahun 2002. Undang-undang itu sendiri mengakui pentingnya keamanan informasi bagi kepentingan keamanan nasional dan ekonomi Amerika Serikat. FISMA mewajibkan semua badan federal untuk mengembangkan, menerapkan, dan mendokumentasikan program untuk memberikan keamanan bagi informasi dan sistem informasi mereka.
Kebutuhan akan keamanan online ditekankan dalam Undang-Undang Manajemen Keamanan Informasi Federal. Ini menugaskan Kantor Manajemen dan Anggaran (OMB) dan Institut Nasional Standar dan Teknologi (NIST) dengan tanggung jawab yang dirancang untuk memperkuat keamanan informasi. Keamanan informasi berarti menjaga informasi dan sistem informasi dari akses, gangguan, pengungkapan, modifikasi, penggunaan, atau penghancuran yang tidak sah.
Undang-Undang Manajemen Keamanan Informasi Federal menyatakan bahwa NIST bertanggung jawab atas pengembangan keamanan informasi yang memadai untuk semua lembaga pemerintah kecuali sistem keamanan nasional. NIST menciptakan standar dan pedoman untuk keamanan informasi yang harus diikuti oleh semua lembaga pemerintah, dan bekerja dengan masing-masing untuk memastikan pemahaman dan penerapan FISMA yang tepat. NIST juga harus mengukur efektivitas implementasi FISMA.
Agen harus menginventarisasi semua sistem informasi yang dioperasikan oleh atau berada di bawah kendali agensi. Inventaris harus mengidentifikasi antarmuka antara setiap sistem tersebut dan semua sistem lainnya, termasuk yang tidak berada di bawah kendali badan tersebut. Badan kemudian harus mengkategorikan informasi dan sistem informasi sesuai dengan tingkat risiko seperti yang didefinisikan oleh standar Undang-Undang Manajemen Keamanan Informasi Federal dan pedoman yang ditetapkan oleh NIST.
FISMA mensyaratkan persyaratan keamanan minimum yang harus dipenuhi oleh semua lembaga pemerintah. Hal ini memungkinkan tingkat fleksibilitas dalam penerapan standar keamanan minimum untuk memenuhi misi khusus dan lingkungan operasional semua lembaga. Setiap lembaga harus mendokumentasikan persyaratan keamanan minimumnya.
Semua lembaga harus tunduk pada penilaian risiko untuk memverifikasi kontrol keamanan mereka dan menentukan apakah kontrol tambahan diperlukan untuk jumlah minimum keamanan yang telah ditetapkan oleh FISMA dan NIST. Semua informasi ini kemudian dikompilasi ke dalam dokumen yang mencatat pencapaian dan rencana tindakan. Dokumen ini ditinjau secara berkala dan dapat dimodifikasi sesuai kebutuhan. Hal tersebut menjadi masukan dan kontribusi utama dalam porsi sertifikasi dan akreditasi FISMA.
Mengikuti semua langkah lain dalam inisiatif keamanan informasi FISMA, kontrol sistem keamanan dan rencana keamanan akan ditinjau. Setelah peninjauan, pejabat senior lembaga mengizinkan pengoperasian sistem informasi dan menerima risiko dan kontrol di dalamnya. Sistem informasi terakreditasi. Setiap sistem terakreditasi diperlukan untuk memantau satu set kontrol keamanan. Jika sistem keamanan berubah secara besar-besaran, penilaian risiko yang diperbarui diperlukan, seperti halnya perubahan pada kontrol.