Federalinis informacijos saugumo valdymo įstatymas yra Jungtinių Valstijų federalinis įstatymas, priimtas 2002 m. Pačiame akte pripažįstama informacijos saugumo svarba Jungtinių Valstijų nacionaliniams ir ekonominiams saugumo interesams. FISMA reikalauja, kad visos federalinės agentūros sukurtų, įgyvendintų ir dokumentuotų programas, užtikrinančias jų informacijos ir informacinių sistemų saugumą.
Interneto saugumo poreikis pabrėžiamas Federaliniame informacijos saugumo valdymo įstatyme. Ji paveda Valdymo ir biudžeto biurui (OMB) ir Nacionaliniam standartų ir technologijų institutui (NIST) vykdyti pareigas, skirtas stiprinti informacijos saugumą. Informacijos saugumas – tai informacijos ir informacinių sistemų apsauga nuo neteisėtos prieigos, sutrikdymo, atskleidimo, modifikavimo, naudojimo ar sunaikinimo.
Federaliniame informacijos saugumo valdymo įstatyme teigiama, kad NIST yra atsakinga už tinkamo informacijos saugumo sukūrimą visoms vyriausybinėms agentūroms, išskyrus nacionalines saugumo sistemas. NIST sukūrė informacijos saugumo standartus ir gaires, kurių turi laikytis visos vyriausybinės agentūros, ir dirba su kiekviena, kad užtikrintų tinkamą FISMA supratimą ir įgyvendinimą. NIST taip pat turi įvertinti FISMA įgyvendinimo efektyvumą.
Agentūros privalo inventorizuoti visas informacines sistemas, kurias eksploatuoja arba yra jos kontroliuojamos. Sąraše turi būti nurodytos sąsajos tarp kiekvienos tokios sistemos ir visų kitų sistemų, įskaitant tas, kurių ta agentūra nekontroliuoja. Tada agentūra turi suskirstyti informaciją ir informacines sistemas pagal rizikos lygį, kaip apibrėžta Federalinio informacijos saugumo valdymo įstatymo standartuose ir NIST nustatytose gairėse.
FISMA reikalauja, kad visos vyriausybinės agentūros atitiktų minimalius saugumo reikalavimus. Tai leidžia lanksčiai taikyti minimalius saugumo standartus, kad atitiktų visų agentūrų konkrečias užduotis ir veiklos aplinką. Kiekviena agentūra turi dokumentuoti savo minimalius saugumo reikalavimus.
Visos agentūros turi atlikti rizikos vertinimą, kad patikrintų savo saugumo kontrolę ir nustatytų, ar reikia papildomų kontrolės priemonių, kad būtų užtikrintas minimalus FISMA ir NIST jau nustatytas užstatas. Tada visa ši informacija sujungiama į dokumentą, kuriame įrašomi etapai ir veiksmų planai. Šis dokumentas periodiškai peržiūrimas ir prireikus gali būti keičiamas. Tai yra pagrindinis indėlis ir indėlis į FISMA sertifikavimo ir akreditavimo dalį.
Atlikus visus kitus FISMA informacijos saugumo iniciatyvos veiksmus, saugos sistemos valdikliai ir saugos planas yra peržiūrimi. Po peržiūros vyresnysis įstaigos pareigūnas suteikia leidimą eksploatuoti informacinę sistemą ir prisiima jos riziką bei kontrolę. Informacinė sistema akredituota. Kiekviena akredituota sistema turi stebėti saugumo kontrolės priemonių rinkinį. Jei apsaugos sistema pasikeistų iš esmės, būtinas atnaujintas rizikos vertinimas, taip pat galimas valdiklių pakeitimas.