联邦信息安全管理法案（Federal Information Security Management Act，FISMA）定义了一个全面的框架来保护政府信息、操作和财产免于自然以及人为的威胁。FISMA在2002年成为电子政府法律的一部分。

　　FISMA把责任分配到各个机构，以确保联邦政府的数据安全。该法案要求程序员和每个机构的负责人对信息安全计划执行年度评审，目的是为了以一种低开销、及时和有效的方式来把风险控制在可接受的范围之内。国家标准和技术研究所（NIST）概括了遵守联邦信息安全管理法的九个步骤：

　　1）把要保护的信息进行分类

　　2）选择最小的底线控制

　　3）使用风险评估程序来重新修改控制

　　4）在系统安全计划中记录控制

　　5）在合适的信息系统中实施安全控制

　　6）一旦安全控制付诸于实施，评估安全控制的有效性

　　7）决定任务和商业案例的风险等级

　　8）赋予信息系统处理的权力

　　9）持续监视安全控制