Federālais informācijas drošības pārvaldības likums ir Amerikas Savienoto Valstu federālais likums, kas tika pieņemts 2002. gadā. Pats tiesību akts atzīst informācijas drošības nozīmi Amerikas Savienoto Valstu nacionālās un ekonomiskās drošības interesēs. FISMA pieprasa visām federālajām aģentūrām izstrādāt, ieviest un dokumentēt programmas, lai nodrošinātu to informācijas un informācijas sistēmu drošību.
Tiešsaistes drošības nepieciešamība ir uzsvērta Federālajā informācijas drošības pārvaldības likumā. Tas uzdod Pārvaldības un budžeta birojam (OMB) un Nacionālajam standartu un tehnoloģiju institūtam (NIST) pildīt pienākumus, kas paredzēti informācijas drošības stiprināšanai. Informācijas drošība nozīmē informācijas un informācijas sistēmu aizsardzību pret nesankcionētu piekļuvi, traucējumiem, izpaušanu, pārveidošanu, izmantošanu vai iznīcināšanu.
Federālais informācijas drošības pārvaldības likums nosaka, ka NIST ir atbildīga par atbilstošas informācijas drošības izstrādi visām valsts aģentūrām, izņemot valsts drošības sistēmas. NIST izveidoja informācijas drošības standartus un vadlīnijas, kas jāievēro visām valsts aģentūrām, un tā sadarbojas ar katru, lai nodrošinātu pareizu FISMA izpratni un ieviešanu. NIST arī jānovērtē FISMA ieviešanas efektivitāte.
Aģentūrām ir jāuzskaita visas informācijas sistēmas, kuras pārvalda aģentūra vai kuras ir tās pārziņā. Uzskaitē ir jāidentificē saskarnes starp katru šādu sistēmu un visām pārējām sistēmām, tostarp tām, kuras nav šīs aģentūras kontrolē. Pēc tam aģentūrai ir jāklasificē informācija un informācijas sistēmas atbilstoši riska līmenim, kā noteikts Federālā informācijas drošības pārvaldības likuma standartos un NIST noteiktajās vadlīnijās.
FISMA pieprasa, lai visas valsts aģentūras ievērotu minimālās drošības prasības. Tas pieļauj zināmu elastību obligāto drošības standartu piemērošanā, lai atbilstu visu aģentūru specifiskajām misijām un darbības videi. Katrai aģentūrai ir jādokumentē savas minimālās drošības prasības.
Visām aģentūrām ir jāpakļaujas riska novērtējumam, lai pārbaudītu savas drošības kontroles un noteiktu, vai ir nepieciešamas papildu pārbaudes FISMA un NIST jau noteiktajai minimālajai drošības summai. Pēc tam visa šī informācija tiek apkopota dokumentā, kurā ir ierakstīti atskaites punkti un rīcības plāni. Šis dokuments tiek periodiski pārskatīts un vajadzības gadījumā to var mainīt. Tas ir galvenais ieguldījums un ieguldījums FISMA sertifikācijas un akreditācijas daļā.
Pēc visām pārējām FISMA informācijas drošības iniciatīvas darbībām drošības sistēmas kontroles un drošības plāns tiek pārskatīti. Pēc izskatīšanas aģentūras vecākā amatpersona pilnvaro informācijas sistēmas darbību un uzņemas ar to saistītos riskus un kontroles. Informācijas sistēma ir akreditēta. Katrai akreditētai sistēmai ir jāuzrauga drošības kontroles pasākumu kopums. Ja drošības sistēma mainās lielā mērā, ir nepieciešams atjaunināts riska novērtējums, kā arī iespējamās vadības ierīču izmaiņas.