Zvezni zakon o upravljanju informacijske varnosti je zvezni zakon Združenih držav, ki je bil sprejet leta 2002. Sam zakon priznava pomen informacijske varnosti za interese nacionalne in gospodarske varnosti Združenih držav. FISMA od vseh zveznih agencij zahteva, da razvijejo, izvajajo in dokumentirajo programe za zagotavljanje varnosti svojih informacij in informacijskih sistemov.
Potreba po spletni varnosti je poudarjena v Zveznem zakonu o upravljanju informacijske varnosti. Uradu za upravljanje in proračun (OMB) in Nacionalnemu inštitutu za standarde in tehnologijo (NIST) zadolžujeta odgovornosti za krepitev informacijske varnosti. Varnost informacij pomeni varovanje informacij in informacijskih sistemov pred nepooblaščenim dostopom, motnjami, razkritjem, spreminjanjem, uporabo ali uničenjem.
Zvezni zakon o upravljanju informacijske varnosti navaja, da je NIST odgovoren za razvoj ustrezne informacijske varnosti za vse vladne agencije, razen za sisteme nacionalne varnosti. NIST je ustvaril standarde in smernice za informacijsko varnost, ki jih morajo upoštevati vse vladne agencije, in sodeluje z vsako, da zagotovi pravilno razumevanje in izvajanje FISMA. NIST mora meriti tudi učinkovitost izvajanja FISMA.
Agencije morajo popisati vse informacijske sisteme, ki jih upravlja ali so pod nadzorom agencije. Popis mora identificirati vmesnike med vsakim takim sistemom in vsemi drugimi sistemi, vključno s tistimi, ki niso pod nadzorom te agencije. Agencija mora nato kategorizirati informacije in informacijske sisteme glede na stopnjo tveganja, kot je opredeljeno v standardih Zveznega zakona o upravljanju informacijske varnosti in smernicah, ki jih določa NIST.
FISMA zahteva minimalne varnostne zahteve, ki jih morajo izpolnjevati vse vladne agencije. Omogoča določeno stopnjo prožnosti pri uporabi minimalnih varnostnih standardov, da bi izpolnili specifično poslanstvo in operativna okolja vseh agencij. Vsaka agencija mora dokumentirati svoje minimalne varnostne zahteve.
Vse agencije morajo opraviti oceno tveganja, da preverijo svoje varnostne kontrole in ugotovijo, ali so potrebne dodatne kontrole za minimalno količino varnosti, ki sta jo že določila FISMA in NIST. Vse te informacije se nato zberejo v dokument, ki beleži mejnike in načrte ukrepanja. Ta dokument se redno pregleduje in ga je mogoče po potrebi spremeniti. Je glavni vložek in prispevek k delu FISMA za certificiranje in akreditacijo.
Po vseh drugih korakih v pobudi za informacijsko varnost FISMA se pregleduje nadzor varnostnega sistema in varnostni načrt. Po pregledu višji uradnik agencije pooblasti delovanje informacijskega sistema ter sprejme tveganja in kontrole v njem. Informacijski sistem je akreditiran. Vsak akreditirani sistem mora spremljati niz varnostnih kontrol. Če se varnostni sistem močno spremeni, je potrebna posodobljena ocena tveganja in možna sprememba kontrol.