Entry № 471
FISMA
FISMA 是什么?
FISMA美国联邦法律,要求联邦机构及其承包商对处理政府数据的系统实施基于风险的信息安全计划。
《联邦信息安全现代化法案》(FISMA)于 2002 年颁布,2014 年修订,要求各联邦机构制定、记录并实施全机构范围的信息安全计划。法案授权 NIST 发布相关标准(FIPS 199 系统分类、FIPS 200 最低控制要求)和指南(SP 800-53 控制目录、SP 800-37 风险管理框架)。各机构必须建立系统清单、进行风险评估、授予系统运行授权(ATO)、对控制措施进行持续监控,并每年向 OMB 和国会报告。FISMA 同样适用于承运联邦信息系统的承包商和云服务提供商。OMB 与 CISA 共同负责监督,GAO 审计执行成效。
● 示例
- 01
某联邦机构在依据 NIST SP 800-53 评估控制后,为新的人力资源系统授予 ATO。
- 02
联邦承包商通过持续监控并提交 POA&M 以维持 FISMA 合规。
● 常见问题
FISMA 是什么?
美国联邦法律,要求联邦机构及其承包商对处理政府数据的系统实施基于风险的信息安全计划。 它属于网络安全的 合规与框架 分类。
FISMA 是什么意思?
美国联邦法律,要求联邦机构及其承包商对处理政府数据的系统实施基于风险的信息安全计划。
如何防御 FISMA?
针对 FISMA 的防御通常结合技术控制与运营实践,详见上方完整定义。
FISMA 还有哪些其他名称?
常见的别称包括: 联邦信息安全现代化法案。