本文档仅供参考之用, 它是“按原样提供的”,“没有任何形式的担保, 无论是明示的还是默示的. 除了, 本文档不创建任何表示, 合同的承诺, 美高梅或其任何相关实体的条件或保证. Tyler对客户的责任在与客户签订的合同中有所规定, 这份文件不属于, 并且不会改变, 任何这样的合同. 该文件反映了Tyler目前的CJIS合规实践, 该等资料可能会不时更新,而毋须事先通知. Tyler的客户和潜在客户有责任自行评估本文所包含的信息, 和/或美高梅的产品和服务, 每一个,因为他们可能会不时更新.

执行概要

CJIS安全政策为刑事司法机构(CJA)和非刑事司法机构(NJCA)提供最低限度的安全要求,以访问FBI CJIS系统和信息,以保护和保障CJI.  某些Tyler客户包括CJAs和njas,他们授权Tyler产品管理CJI, 把美高梅和那些客户放在一个关于CJI的共同责任框架下.  Tyler管理符合CJIS安全政策要求(如适用), 例如为能够访问CJI的Tyler员工提供指纹卡,并与我们的客户签署CJIS安全补充协议. 本白皮书的目的是概述Tyler的CJIS合规项目, 包括与受影响的客户合作经营的共享责任模式.

要访问FBI的CJIS安全政策,请访问 FBI的CJIS安全政策资源中心.

刑事司法信息(CJI),定义

CJI指的是联邦调查局cjis提供的所有必要数据,以供执法机构执行其任务和执行法律. CJI包括生物, 身份的历史, 人, 组织, 属性和案例/事件历史数据. 它还包括联邦调查局cjis提供的必要数据,民事机构执行其任务, 包括用于招聘决策的数据.

保护CJI 

CJI必须受到保护,直到信息(a)通过授权披露发布给公众, such as in a crime report; or (b) purged or destroyed in accordance with applicable record retention rules.  CJIS安全策略概述了为管理和维护CJI数据创建安全控制的最低安全需求集.  没有授权中央机构证明CJIS安全政策的符合性.

许多供应商错误地声称他们的美高梅是“CJIS认证的”.没有CJIS认证这回事."

FBI建议CJAs和NCJAs最终负责确保合规, 即使他们与第三方供应商合作,提供与该机构的CJI相关的软件或服务.  更重要的是, 这些机构根据机构自己的风险接受标准来解释美高梅是符合cjis的. 美高梅的客户包括美国各地的机构.  Tyler客户的遵从性要求超过FBI CJIS安全政策规定的最低限度,并且与其他Tyler客户遵循的共同标准相冲突, Tyler希望与该客户/那些客户合作,达成一种相互同意的方法,该方法与FBI的CJIS安全政策和行业标准一致. 如果Tyler因为一个独特的客户需求而同意采取额外的措施, 美高梅保留对这些努力附加费用的权利,并在美高梅认为商业上合理的时间框架内部署它们.

纪念美高梅在CJIS安全政策下履行责任的承诺, 美高梅已经执行了CJIS的安全附录.  一份 CJIS就安全附录 美高梅签字的文件可供参考. 每位有权访问CJI的美高梅员工还需要签署一份CJIS安全附录.

分担责任模式

美高梅准备了一个职责矩阵,概述了职责, 如果有任何, 与联邦调查局确认的相关安全控制有关的美高梅及其受影响的客户. 重要的是要注意到这个矩阵是全面的, 因为它假设Tyler客户端托管在Tyler数据中心.  如果美高梅的客户, 然而, 托管在客户端或第三方环境中, 某些责任将不适用.  如果您是一个自托管客户端, 或者托管在第三方环境中的客户端, 你会问哪些控制不适用于你, 或者不要用在美高梅身上, 请联系 CJISRequest@sendai-ohara.com.   

共同责任意味着, 至少, Tyler的客户仍然负责管理他们的客户端环境和数据.  即使对于那些Tyler美高梅托管在Tyler云中的客户端也是如此.  例如,Tyler的客户至少要负责:

  • 用户身份管理;
  • 美高梅解的访问控制;
  • 接入云服务的终端的安全管理与控制, 包括硬件, 软件, applications and device rights; and
  • 数据安全(传输和存储安全), 完整性保护, 备份和恢复, 权利和权限).

如欲索取一份共同责任表,请电邮至 CJISRequest@sendai-ohara.com 美高梅的受影响的客户应该仔细检查这个矩阵.

CJIS就政策领域

CJIS安全策略分为13个策略区域. 上面引用的共享责任矩阵详细说明了哪些方负责这些策略领域中的控制, 以及如何履行这些责任.  下面是对政策领域本身以及Tyler如何处理它们的高层次总结, 是适用的.

政策范围1 -资讯交换协议

使用Tyler美高梅管理CJI的客户必须与Tyler签署一份书面协议,以记录他们的互动程度,以及旨在确保适当安全措施的政策和程序.  Tyler的标准许可协议包括针对这些概念的语言. Tyler还执行了CJIS安全附录,如上所述.

政策范畴二-保安意识训练

有权进入CJI的Tyler人员必须完成并保持fbi批准的峰值性能CJIS四级培训.  美高梅保存着安全意识培训的记录.

政策范围3 -事故应变

美高梅遵循行业标准事故响应协议, 包括准备, 检测, 分析, 容器, 消除和恢复.  Tyler的计划是根据SOC 2,第2类信任原则进行审计的.  需要注意的是,Tyler的客户还必须有自己的事件响应策略和流程, 因为Tyler不会代表客户处理或分流客户安全事件.

政策范围4 -审核及问责

代理机构必须能够为定义的事件生成系统的审计记录.  Tyler将协助正在接受审计的客户,回应客户有关审计的询问,并提供可获得的信息.

策略区域5 -访问控制

Tyler实现了针对登录管理系统的多种机制, 远程访问, 和虚拟专用网络(VPN)美高梅通过FIPS 140-2标准认证. Tyler还为Wi-Fi、蓝牙和蜂窝设备制定了政策和控制.

策略区域6 -识别和认证

Tyler为Tyler人员提供了唯一的用户身份凭证,并需要复杂的密码, 哪些是必须定期更换的.

策略区域7 -配置管理

Tyler在Tyler网络上隔离包含CJI的数据库, 并限制用户访问凭据美高梅资源授权访问和管理代表美高梅的客户的CJI.  Tyler的系统配置文档包含敏感的细节(例如Tyler应用程序的描述), 流程, 程序, 数据结构, 授权过程, 数据流, 等.).  Tyler保护这样的系统文档不被公众访问.  可以根据请求提供高级网络图 CJISRequest@sendai-ohara.com.

政策区域8 -媒体保护

Tyler确保所有CJIS数据在其所有的形式, 包括电子版和纸质版.  Tyler的美高梅能够对传输中的数据和静止的数据进行加密. Tyler采用基于风险的方法进行识别, 对敏感信息进行分类和保护.

策略区域9 -物理保护

Tyler已经在适用的Tyler办公地点和其他Tyler区域指定了物理上安全的位置,在这些位置上,CJI可以被Tyler资源访问.

政策范围10 -系统及通讯保护及资讯完整

Tyler采取行业标准措施来保护其网络和Tyler网络上的数据.  这些措施包括加密、防病毒工具和补丁管理功能.

政策区域11 -正式审核

联邦调查局不审计第三方供应商,如Tyler. 相反,联邦调查局审计执法机构,比如美高梅的客户. 在必要的审计期间,Tyler会与客户合作.

政策范围12 -人事保安

美高梅进行背景调查, 包括指纹, 所有能在物理或逻辑上访问未加密的CJI的美高梅人员.  美高梅保存着这些检查结果的记录.

策略区域13 -移动设备

该政策领域要求执法机构建立移动设备的使用限制和实施指导, 和授权, 监控, 并控制无线接入.   

结论

数据安全性在不断发展,围绕CJIS合规的要求也不例外. Tyler非常重视数据安全和CJIS合规义务, 并不断努力提高和完善其数据安全程序.  这份白皮书可能会更新,以反映美高梅最新的做法, 我们鼓励您回到我们网站的合规页面获取最新信息.

在这方面,我们致力于与客户合作. 我们为这一伙伴关系所承诺的资源是重要的, 包括CJIS安全官员的任命, 主管监督, 聘请第三方CJIS合规顾问, 参加一年两次的联邦调查局咨询政策委员会会议, 并利用内部资源,在整个Tyler社区中培育一种合规文化.

更多行业合规

绘画考验视力 美高梅国际官网.

在美高梅, 我们想象一个世界,所有的城市, 县, 区域政府服务通过健康的数字基础设施连接起来. 连接数据, 流程, 人们让社区更安全, 更聪明的, 更能满足居民的需求.

更多关于互联社区的信息