El Programa de Automatización de la Seguridad de la Información ( ISAP , pronunciado "I Sap") es una iniciativa de varias agencias del gobierno de EE. UU. para permitir la automatización y estandarización de las operaciones de seguridad técnica. Si bien es una iniciativa del gobierno de EE. UU., su diseño basado en estándares puede beneficiar a todas las operaciones de seguridad de tecnología de la información. Los objetivos de alto nivel de ISAP incluyen la automatización basada en estándares de verificación y corrección de seguridad, así como la automatización de actividades de cumplimiento técnico (por ejemplo, FISMA ). Los objetivos de bajo nivel de ISAP incluyen permitir la comunicación basada en estándares de datos de vulnerabilidad, personalizar y administrar líneas base de configuración para varios productos de TI, evaluar sistemas de información e informar el estado de cumplimiento, usar métricas estándar para ponderar y agregar el impacto potencial de la vulnerabilidad y remediar las vulnerabilidades identificadas.
Las especificaciones técnicas de ISAP están contenidas en el Protocolo de automatización de contenidos de seguridad (SCAP) relacionado. El contenido de automatización de seguridad de ISAP está incluido en la base de datos nacional de vulnerabilidad o es referenciado por ella .
ISAP se está formalizando a través de un memorando de acuerdo trilateral (MOA) entre la Agencia de Sistemas de Información de Defensa (DISA), la Agencia de Seguridad Nacional (NSA) y el Instituto Nacional de Estándares y Tecnología (NIST). La Oficina del Secretario de Defensa (OSD) también participa y el Departamento de Seguridad Nacional (DHS) financia la infraestructura operativa en la que se basa ISAP (es decir, la Base de Datos Nacional de Vulnerabilidad).
Este documento incorpora texto de Descripción general del programa de automatización de seguridad de la información (v1 beta), una publicación de dominio público del gobierno de EE. UU.