Information Systems Audit and Control Association（全球ISACA） 

美国《联邦信息安全管理法案》（FISMA）不同于其他规定，它用于解决美国联邦机构的问题而不是私人企业。因此，私企不可享用验证合规性和分配运作权力(ATO)的认证和鉴定(C&A)机制。认证和鉴定过程包括风险评估的性能、差距分析、控制实施、以及安全检测和FISMA界限评估。这个过程必须在联邦机构的监督下执行，因为它将提供运作权力，这是证明FISMA要求合规性的文件。

近年来，政府承包商和分包商已经为FISMA合规做了很多努力，因为联邦机构已经扩大了对防御之外的承包商的监管力度，并把FISMA应用于研究人员。

更多详情请访问：http://www.isaca.org/Journal/Blog/default.aspx