Le Computer Security Act de 1987 a été promulgué par le Congrès des États-Unis en 1987 dans une première tentative d’établir des normes pour la sécurité de la nouvelle génération d’ordinateurs appartenant au gouvernement national. Un autre objectif de la loi était de donner une reconnaissance législative à l’idée qu’il existe une sorte d’information qui n’est pas qualifiée de secrète, mais qui méritait d’être protégée sur les systèmes informatiques de la nation. Donner effet à cette reconnaissance en établissant des protocoles de sécurité et une formation pour travailler avec et le protéger était l’essentiel de la loi sur la sécurité informatique de 1987, ainsi que la nomination d’une seule entité fédérale, le National Bureau of Standards, pour superviser et coordonner ces efforts tout au long de le gouvernement fédéral
Au début des années 1980, ce qu’on appelait alors les ordinateurs personnels étaient reconnus comme des outils puissants, et le World Wide Web en était encore à ses débuts, mais le plein potentiel et les vulnérabilités des ordinateurs n’avaient été que devinés. Le gouvernement fédéral était déjà un grand utilisateur d’ordinateurs de bureau, à la fois autonomes et en réseau, mais il n’y avait aucune autorité centrale chargée de superviser les questions de sécurité et de formation ; au lieu de cela, la responsabilité des ordinateurs appartenant au gouvernement fédéral et les informations qu’ils stockaient étaient réparties au hasard entre trois agences. La définition de la politique de sécurité informatique pour le gouvernement fédéral relevait de la responsabilité du Bureau de la gestion et du budget, et le Département du commerce était chargé de définir les normes de traitement et de calcul des ordinateurs achetés par le gouvernement. La National Security Agency (NSA), à son tour, a été chargée de sécuriser les informations classifiées sur les ordinateurs fédéraux. La coordination des efforts entre ces trois agences était inexistante et les guerres de territoire étaient courantes.
En 1984, le président Ronald Reagan a signé une directive créant une structure au sein de laquelle la NSA, le ministère de la Défense (DoD) et le Conseil de sécurité nationale avaient des responsabilités importantes dans l’élaboration de normes de sécurité informatique, mais leurs activités semblaient mélanger les questions civiles et de défense, comme et mettre en péril l’accès des civils aux dossiers du gouvernement. L’ordonnance de Reagan a été annulée lors des audiences sur la Computer Security Act de 1987, qui ont eu lieu en raison de l’échec de l’adoption d’une loi en 1985 qui visait à confier au National Bureau of Standards la tâche de développer et d’appliquer des normes de sécurité pour les ordinateurs fédéraux.
La loi sur la sécurité informatique de 1987 portait sur quatre domaines spécifiques. Premièrement, il a établi un nouveau niveau de classification de sécurité : sensible, qui a été donné aux informations qui devraient être protégées mais n’a pas atteint le niveau de secret. Deuxièmement, cela nécessitait l’élaboration de politiques et de pratiques de sécurité uniformes pour les systèmes informatiques fédéraux contenant du matériel sensible, ainsi que l’identification de ces systèmes. Troisièmement, la loi exigeait des normes uniformes de formation pour le personnel affecté à l’exploitation de ces systèmes. La loi a finalement confié au Bureau national des normes la tâche d’élaborer des normes minimales acceptables pour la sécurité de tous les ordinateurs et systèmes informatiques fédéraux, avec l’aide de la NSA. Objet de nombreuses audiences et révisions, le Computer Security Act de 1987 a finalement été remplacé par le Federal Information Security Management Act de 2002.