El Programa de Automatización de Seguridad de la Información ( ISAP , pronunciado "I Sap") es una iniciativa de varias agencias del gobierno de EE. UU. para permitir la automatización y estandarización de las operaciones de seguridad técnica. Si bien es una iniciativa del gobierno de EE. UU., su diseño basado en estándares puede beneficiar a todas las operaciones de seguridad de la tecnología de la información. Los objetivos de alto nivel de ISAP incluyen la automatización basada en estándares de la verificación y corrección de la seguridad, así como la automatización de las actividades de cumplimiento técnico (p. ej., FISMA). Los objetivos de bajo nivel de ISAP incluyen permitir la comunicación basada en estándares de datos de vulnerabilidad, personalizar y administrar las líneas base de configuración para varios productos de TI, evaluar los sistemas de información e informar el estado de cumplimiento, usar métricas estándar para ponderar y agregar el impacto potencial de la vulnerabilidad y remediar las vulnerabilidades identificadas.
Las especificaciones técnicas de ISAP están contenidas en el Protocolo de Automatización de Contenido de Seguridad (SCAP) relacionado. El contenido de automatización de seguridad de ISAP está incluido en la base de datos nacional de vulnerabilidades o hace referencia a ella .
ISAP se está formalizando a través de un memorando de acuerdo trilateral (MOA) entre la Agencia de Sistemas de Información de Defensa (DISA), la Agencia de Seguridad Nacional (NSA) y el Instituto Nacional de Estándares y Tecnología (NIST). También participa la Oficina del Secretario de Defensa (OSD) y el Departamento de Seguridad Nacional (DHS) financia la infraestructura operativa en la que se basa ISAP (es decir, la Base de Datos Nacional de Vulnerabilidad).
Este documento incorpora texto de Information Security Automation Program Overview (v1 beta) , una publicación de dominio público del gobierno de EE. UU.