Federal Information Security Management Act on Yhdysvaltojen liittovaltion laki, joka hyväksyttiin vuonna 2002. Laki tunnustaa tietoturvan tärkeyden Yhdysvaltojen kansallisille ja taloudellisille turvallisuusetuille. FISMA vaatii kaikkia liittovaltion virastoja kehittämään, toteuttamaan ja dokumentoimaan ohjelmia tieto- ja tietojärjestelmiensä turvaamiseksi.
Verkkoturvallisuuden tarvetta korostetaan liittovaltion tietoturvallisuuden hallintalaissa. Se antaa hallinto- ja budjettitoimistolle (OMB) ja kansalliselle standardi- ja teknologiainstituutille (NIST) vastuut tietoturvan vahvistamiseksi. Tietoturvalla tarkoitetaan tieto- ja tietojärjestelmien suojaamista luvattomalta käytöltä, häiriöiltä, paljastamiselta, muuttamiselta, käytöltä tai tuhoamiselta.
Liittovaltion tietoturvallisuuden hallintalaissa todetaan, että NIST on vastuussa riittävän tietoturvan kehittämisestä kaikille viranomaisille paitsi kansallisille turvajärjestelmille. NIST loi tietoturvan standardit ja ohjeet, joita kaikkien valtion virastojen on noudatettava, ja se toimii kunkin kanssa varmistaakseen FISMAn oikean ymmärtämisen ja täytäntöönpanon. NIST: n on myös mitattava FISMAn täytäntöönpanon tehokkuus.
Virastojen on kartoitettava kaikki tietojärjestelmät, joita virasto käyttää tai jotka ovat sen valvonnassa. Inventaariossa on yksilöitävä rajapinnat kunkin tällaisen järjestelmän ja kaikkien muiden järjestelmien välillä, mukaan lukien ne järjestelmät, jotka eivät ole kyseisen viranomaisen valvonnassa. Viraston on sitten luokiteltava tieto- ja tietojärjestelmät riskitason mukaan liittovaltion tietoturvan hallinnan lain standardien ja NIST: n ohjeiden mukaisesti.
FISMA edellyttää, että kaikkien valtion virastojen on täytettävä turvallisuuden vähimmäisvaatimukset. Se mahdollistaa tietyn joustavuuden vähimmäisturvallisuusstandardien soveltamisessa kaikkien virastojen erityisten tehtävien ja toimintaympäristöjen täyttämiseksi. Jokaisen toimiston on dokumentoitava vähimmäisturvallisuusvaatimukset.
Kaikkien virastojen on alistuttava riskinarviointiin turvatarkastustensa tarkistamiseksi ja sen selvittämiseksi, tarvitaanko lisävalvontaa FISMA: n ja NIST: n jo vahvistaman vähimmäisturvan osalta. Kaikki nämä tiedot kootaan sitten asiakirjaksi, joka tallentaa välitavoitteet ja toimintasuunnitelmat. Tämä asiakirja tarkistetaan säännöllisesti ja sitä voidaan muuttaa tarpeen mukaan. Se on tärkein panos ja panos FISMAn sertifiointi- ja akkreditointiosassa.
Kaikkien muiden FISMAn tietoturva -aloitteen vaiheiden jälkeen turvajärjestelmän valvonta ja turvasuunnitelma tarkistetaan. Tarkastuksen jälkeen virasto vanhempi virkamies valtuuttaa tietojärjestelmän käytön ja hyväksyy sen riskit ja valvonnan. Tietojärjestelmä on akkreditoitu. Jokaisen akkreditoidun järjestelmän on valvottava turvavalvontasarjoja. Jos turvajärjestelmä muuttuu suuresti, päivitetty riskinarviointi on tarpeen, samoin kuin mahdollinen muutos valvontaan.