Das Federal Risk and Authorization Management Program (FedRAMP) wurde im Rahmen des Federal Information Security Management Act (FISMA) ins Leben gerufen, um einen standardisierten Ansatz zur Bewertung der Sicherheit von Cloud-Computing-Services für die Nutzung durch US-Regierungsstellen und Behörden bereitzustellen. Jeder Cloud-Service, der von einer Bundesbehörde genutzt wird, muss FedRAMP-autorisiert sein, entweder durch eine vorläufige Autorisierung (P-ATO) des Joint Authorization Board (JAB) oder durch eine Akkreditierung der Behörde (ATO), und muss von einer externen Prüfstelle (3PAO) bewertet werden.

Die FedRAMP-Autorisierung wird für drei Sicherheitsstufen (Impact Levels, IL) erteilt: Niedrig, Mäßig und Hoch. Diese Stufen basieren auf den Auswirkungen, die der Verlust von Daten, einschließlich privater Daten, auf eine Organisation hätte, wobei für jede Stufe immer strengere Kontrollen erforderlich sind. „FedRAMP High“ ist die höchste Autorisierungsstufe.