联邦信息安全管理法(FISMA) 美国联邦法律是否作为2002年电子政府法案的第三条颁布.L. 107 - 347年,116年统计. 2899).  FISMA 要求联邦机构, 以及那些为他们提供服务的人, 开发, 文档, 并实施信息系统的安全程序.  该法案认识到信息安全对美国经济和国家安全利益的重要性.  FISMA 在联邦政府内部引起对网络安全的关注，并明确强调“以风险为基础的经济有效的安全政策”。. 2010年4月, 管理和预算办公室(OMB)发布了一份备忘录，要求所有联邦机构报告他们的 FISMA 活动向国会.  FISMA 要求联邦机构项目官员, 首席信息官, 以及监察长(IGs)对该机构的信息安全项目进行年度审查，并将结果报告给行政管理和预算办公室(OMB). 行政管理和预算局利用这些数据来协助其监督职责，并就机构遵守该法案的情况向国会提交年度报告. 2010年的行政管理和预算办公室备忘录也重申了联邦机构应纳入的要求 FISMA 遵守所有涉及联邦监管数据的合同, 以及在创建监管数据时的授权, 访问, 或者代表联邦政府储存.  而 FISMA 一般适用于联邦机构， FISMA 接受联邦拨款和合同的人越来越遵守规定.

FISMA有三个层次:

1. FISMA低 -未经授权披露的资料可能会有 有限的 对组织运营、组织资产或个人的不利影响.
2. FISMA温和 –需要FIPS 140 - 2验证的产品.未经授权的信息披露可能会有一个 严重的 对组织运营、组织资产或个人的不利影响.
3. FISMA高 - FIPS 140 - 2认证产品要求.未经授权的信息披露可能会有一个 严重或灾难性的 对组织运营、组织资产或个人的不利影响.

FISMA 指出了几个NIST文件，所有这些文件都要求FIPS 140 - 2 FISMA温和 和 FISMA高 网络.

的 中度 经常是在灰色地带吗. 这是错误的. FISMA温和 特别呼吁 FIPS 140 - 2验证 网络产品.