2001年9月11日のテロ以降、米国政府のセキュリティに関する取り組みは大きく変わったと言われています。米国NIST（国立標準技術研究所: National Institute of Standards and Technology）では、情報セキュリティに関する様々な規格、標準、ガイドラインを策定していますが、その背景も9.11前と9.11後では大きな変化が見られます。NISTの活動に大きな変化をもたらした法律は、FISMA（フィスマ）という法律です。この法律では、連邦政府機関が情報セキュリティを強化することを義務付け、NISTに対しては、そのための規格やガイドラインを開発することを義務付けています。

つまり、米国では、情報セキュリティ対策の実施を法律で義務付けているのです。この法律の対象となるのは、連邦政府機関だけではなく、連邦政府機関より業務委託を受けている民間の外部委託先も含みます。
NISTでは、FISMAの規定を受けて、「FISMA導入プロジェクト （The FISMA Implementation Project）」を立ち上げ、FISMAリスクマネジメントフレームワークという、情報セキュリティを継続的に維持・向上させる枠組みや多くの規格、ガイドラインを開発しました。
これらNISTの文書群は、その内容を見ると、政府機関だけではなく、企業の経営者、セキュリティ担当者などが、自組織の情報セキュリティ対策を向上させるために役立つ資料と言えます。

このページでは、この、FISMAという法律に基づいた、米国政府の情報セキュリティを飛躍的に向上させるための、FISMA導入プロジェクトについて解説します。

FISMA （連邦情報セキュリティマネジメント法：the Federal Information Security Management Act）は、2002年12月に制定された「電子政府法」のタイトルIIIにあたります。この法律は、各連邦政府機関とその外部委託先に対して、情報および情報システムのセキュリティを強化するためのプログラムを開発、文書化、実践することを義務付けています。また、同法は、NISTに対しては、連邦政府が FISMAに準拠するための支援をすることを義務付けています。

"Each federal agency shall develop, document, and implement an agency-wide information security program to provide information security for the information and information systems that support the operations and assets of the agency, including those provided or managed by another agency, contractor, or other source..." ---Federal Information Security Management Act of 2002 (Title III of the E-Government Act)

FISMAの制定を受けて、NISTでは2003年1月に「FISMA導入プロジェクト（The FISMA Implementation Project）」を立ち上げ、情報システムのセキュリティを強化し安全に運用するための様々な規格やガイドラインを策定しています。

目的：連邦政府の情報セキュリティ強化に寄与する（FISMAへの準拠）
フェーズI：FISMA関連のセキュリティ規格（FIPS）およびガイドライン(SPシリーズ）の開発・策定
2006年5月現在FISMA導入プロジェクト関連文書は、1〜2文書を残し、策定済み
フェーズII：セキュリティ評価機関を認定するプログラムの開発（2006年より開始）
フェーズIII：セキュリティ評価ツール検証プログラムの開発（開始時期未定）

注：翻訳公開文書はこの図より翻訳文へのリンクが張られています。