本文档仅供参考用途, 它是“按原样”提供的,“没有任何担保, 无论是明示的还是暗示的. 除了, 本文档不创建任何表示, 合同的承诺, 美高梅或其任何相关实体的条件或保证. Tyler对其客户的责任在其与客户签署的合同中有所规定, 这份文件也不是, 并且不会改变, 任何这样的合同. 该文件反映了Tyler当前的CJIS合规实践, 在Tyler的自由裁量权下,可以在没有提前通知的情况下随时更新. Tyler的客户和潜在客户负责对这里所包含的信息进行自己的评估, 和/或美高梅的产品和服务, 每一项可能会不时更新.

执行概要

CJIS安全政策为刑事司法机构(CJA)和非刑事司法机构(NJCA)提供了访问FBI CJIS系统和信息的最低安全要求集,以保护和保护CJI.  Tyler的某些客户包括CJAs和njca,他们授权Tyler的产品来管理CJI, 将美高梅和那些客户置于一个关于CJI的共同责任框架下.  Tyler管理符合CJIS安全策略需求的情况, 例如,为Tyler的员工提供访问CJI的州指纹卡,并与我们的客户签署CJIS安全附录协议. 本白皮书的目的是提供Tyler的CJIS合规程序的概述, 包括与受影响的客户合作的共同责任模式.

要访问FBI的CJIS安全政策,请访问 联邦调查局CJIS安全政策资源中心.

刑事司法信息(CJI),定义

CJI是指联邦调查局为执法机构执行任务和执法所提供的所有cjis数据. CJI包括生物, 身份的历史, 人, 组织, 财产和案件/事件历史数据. 它还包括FBI的cjis提供的民事机构执行任务所需的数据, 包括用于做出招聘决定的数据.

保护CJI 

CJI必须受到保护,直到信息(a)通过授权披露向公众发布, such as in a crime report; or (b) purged or destroyed in accordance with applicable record retention rules.  CJIS安全策略概述了一组最低限度的安全需求,为管理和维护CJI数据创建安全控制.  没有授权的中央机构对CJIS安全策略的符合性进行认证.

许多供应商错误地宣称他们的美高梅是“CJIS认证的”.没有所谓的“CJIS认证”."

联邦调查局建议,CJAs和NCJAs最终有责任确保合规, 即使他们与第三方供应商合作提供与该机构的CJI相关的软件或服务.  更重要的是, 这些机构根据其自身符合cjis的风险接受标准来解释美高梅. 美高梅的客户遍及美国各地.  在一定程度上,Tyler客户的合规要求超过了FBI CJIS安全政策所确定的最低要求,并与其他Tyler客户遵循的通用标准发生冲突, Tyler希望与该客户/那些客户合作,以达成一致的方法,与FBI的CJIS安全政策和行业标准一致. 如果美高梅同意采取额外措施因为一个独特的客户需求, Tyler保留对这些努力附加费用的权利,并在Tyler认为商业上合理的时间范围内部署这些努力.

为了纪念美高梅在CJIS安全政策下履行职责的承诺, 美高梅已经执行了CJIS的安全附录.  一份 CJIS就安全附录 美高梅签署的文件可供参考. 每个能访问CJI的Tyler员工还需要签署一份CJIS安全附录.

共同责任模式

Tyler准备了一个职责矩阵来概括职责, 如果有任何, 与联邦调查局确认的相关安全控制有关的美高梅及其受影响的客户. 值得注意的是,这个矩阵是全面的, 因为它假定Tyler客户机托管在Tyler数据中心中.  如果美高梅的客户, 然而, 托管在客户机或第三方环境中, 某些责任将不适用.  如果您是自托管客户端, 或者托管在第三方环境中的客户端, 你会问哪些控制方法不适用于你, 或者不向美高梅申请, 请联系 CJISRequest@sendai-ohara.com.   

共同责任意味着, 至少, Tyler的客户仍然负责管理他们的客户端环境和数据.  即使对于那些其Tyler美高梅托管在Tyler云中的客户也是如此.  例如,美高梅的客户至少要负责:

  • 用户身份管理;
  • Tyler美高梅的访问控制;
  • 对接入云服务的终端进行安全管理和控制, 包括硬件, 软件, applications and device rights; and
  • 数据安全(传输和存储安全), 完整性保护, 备份和恢复, 权利和权限).

如欲索取责任分担表,请发电子邮件至 CJISRequest@sendai-ohara.com 美高梅受影响的客户应该仔细检查这个模型.

CJIS就政策领域

CJIS安全策略分为13个策略区域. 上面引用的共享责任矩阵详细说明了哪些方负责这些政策领域内的控制, 以及如何履行这些责任.  下面是对政策领域本身以及Tyler如何处理它们的有意的高级总结, 是适用的.

政策范畴1 -资讯交换协议

使用Tyler美高梅来管理CJI的客户必须与Tyler签署一份书面协议,以记录他们的交互程度以及旨在确保适当安全措施的策略和过程.  Tyler的标准许可协议包括针对这些概念的语言. Tyler还执行了CJIS安全附录,如上所述.

政策范围2 -保安意识培训

能够访问CJI的Tyler人员必须完成并保持联邦调查局批准的CJIS 4级峰值性能培训.  美高梅保存着安全意识培训的记录.

政策范围3 -事件响应

美高梅遵循行业标准事件响应协议, 包括准备, 检测, 分析, 容器, 消除和恢复.  Tyler的计划是根据SOC 2,二类信任原则进行审计的.  值得注意的是,Tyler的客户还必须有他们自己的事件响应政策和程序, 因为Tyler并不代表其客户管理或分流客户安全事件.

政策领域4 -审计和问责制

机构必须具备为其系统生成已定义事件的审计记录的能力.  Tyler将通过回应与审计相关的客户询问并提供可用信息来协助正在接受审计的客户.

策略区域5 -访问控制

Tyler实现了多种解决登录管理系统的机制, 远程访问, 和FIPS 140-2标准认证的虚拟专用网(VPN)美高梅. 美高梅还制定了Wi-Fi、蓝牙和蜂窝设备的政策和控制.

策略区域6 -识别和认证

美高梅为美高梅人员提供独特的用户身份凭证,并要求复杂的密码, 哪些必须定期更换.

策略区域7 -配置管理

Tyler隔离Tyler网络中包含CJI的数据库, 并将用户访问凭据限制为代表Tyler的客户访问和管理CJI的授权Tyler资源.  Tyler的系统配置文档包含敏感的细节(比如Tyler应用程序的描述), 流程, 程序, 数据结构, 授权过程, 数据流, 等.).  Tyler保护这样的系统文档不被公众访问.  可以根据要求提供高级网络图 CJISRequest@sendai-ohara.com.

政策范畴8 -媒体保护

美高梅保护了所有CJIS数据所有形式的数据, 包括电子版和硬拷贝.  美高梅的美高梅能够加密传输和静止的数据. 美高梅采用基于风险的方法进行识别, 对敏感信息进行适当的分类和保护.

政策领域9 -物理保护

Tyler已经在适用的Tyler办公地点和Tyler资源可能访问CJI的其他Tyler区域指定了物理安全位置.

政策领域10 -系统和通信保护和信息完整性

美高梅采取行业标准措施来保护其网络和美高梅网络上的数据.  这些措施包括加密、防病毒工具和补丁管理功能.

政策领域11 -正式审计

FBI不会审核Tyler等第三方供应商. 相反,联邦调查局审计执法机构,比如美高梅的客户. 美高梅在必要的审计期间与客户合作.

政策区12 -人员安全

美高梅进行背景调查, 包括指纹, 所有有物理或逻辑访问未加密CJI权限的美高梅人员.  美高梅保存着这些检查结果的记录.

策略区域13 -移动设备

这一政策领域要求执法机构制定移动设备的使用限制和实施指南, 和授权, 监控, 并控制无线接入.   

结论

数据安全是不断发展的,符合CJIS的要求也不例外. Tyler非常重视数据安全和CJIS合规义务, 并不断努力加强和完善其数据安全程序.  本白皮书可能会更新以反映Tyler的最新实践, 我们鼓励您返回我们网站上的合规页面获取最新信息.

我们致力于与我们的客户在这方面进行合作. 我们为这一伙伴关系承诺的资源是重要的, 包括CJIS安全官员的任命, 主管监督, 第三方CJIS合规顾问的参与, 参加两年一次的联邦调查局咨询政策委员会会议, 并利用内部资源来促进Tyler社区的遵从文化.

更多行业合规

绘画 的愿景 美高梅国际官网.

在美高梅, 我们想象一个世界,所有的城市, 县, 地区政府服务在健康的数字基础设施内相互连接. 连接数据, 流程, 人们使社区更安全, 更聪明的, 并对居民的需求做出更积极的回应.

更多关于互联社区的信息