本文档仅供参考, 而且它是“按原样”提供的,“没有任何形式的保证, 无论是明示的还是暗示的. 除了, 本文档不构成任何陈述, 合同的承诺, 美高梅或其相关实体提供的条件或保证. 美高梅对客户的责任在其与客户签订的合同中规定, 这份文件不属于, 并且不会修改, 任何此类合同. 该文件反映了美高梅目前的CJIS合规实践, 可由美高梅酌情随时更新，而无须事先通知. 美高梅的客户和潜在客户有责任对这里包含的信息做出自己的评估, 和/或美高梅的产品和服务, 每一个，因为他们可能会不时更新.

执行概要

CJIS安全政策为刑事司法机构(CJA)和非刑事司法机构(NJCA)提供了访问FBI CJIS系统的最低安全要求，以及保护和维护CJI的信息.  某些Tyler客户包括cja和njca，他们授权Tyler产品来管理CJI, 让美高梅和那些客户在CJI的框架下共同承担责任.  在适用的情况下，Tyler管理符合CJIS安全政策的要求, 例如，向各州提供进入CJIS的美高梅员工指纹卡，并与客户签署CJIS安全附录协议. 本白皮书的目的是概述美高梅的CJIS合规计划, 包括与受影响客户合作运营的共同责任模式.

要访问FBI的CJIS安全政策本身，请访问 联邦调查局的CJIS安全政策资源中心.

刑事司法信息(CJI)定义

CJI是指执法机构执行任务和执行法律所需的所有FBI cjis提供的数据. CJI包括生物识别技术, 身份的历史, 人, 组织, 财产和案件/事件历史数据. 它还包括联邦调查局cjis提供的民事机构执行任务所需的数据, 包括用于招聘决策的数据.

保护CJI 

CJI必须受到保护，直到信息(a)通过授权披露向公众发布, such as in a crime report; or (b) purged or destroyed in accordance with applicable record retention rules.  CJIS安全策略概述了为管理和维护CJI数据创建安全控制的最低安全需求集.  没有授权的中央机构来认证CJIS安全政策的合规性.

许多供应商错误地声明他们的美高梅是“经过CJIS认证的”.CJIS认证是不存在的."

联邦调查局建议CJAs和NCJAs最终负责确保合规, 即使他们与第三方供应商合作，提供与该机构的CJI相关的软件或服务.  而且, 这些机构根据他们自己的符合cjis的风险接受标准来解释美高梅. 美高梅的客户包括美国各地的机构.  在某种程度上，美高梅客户的合规要求超过了FBI的CJIS安全政策规定的最低要求，并与其他美高梅客户遵循的共同标准相冲突, Tyler期望与该客户/那些客户合作，达成一种双方都同意的方法，该方法与FBI的CJIS安全政策和行业标准一致. 如果美高梅因为客户的特殊要求而同意采取额外措施, Tyler保留对这些工作收取费用的权利，并在Tyler认为商业上合理的时间框架内部署这些工作.

纪念美高梅在CJIS安全政策下履行其职责的承诺, 美高梅已经执行了CJIS安全附录.  一份 CJIS安全附录 美高梅签署的文件可供参考. 每位有权访问CJIS的美高梅员工还必须签署CJIS安全附录.

共同责任模式

美高梅准备了一个职责矩阵，列出了职责, 如果有任何, 联邦调查局发现美高梅及其受影响客户的相关安全控制. 重要的是要注意这个矩阵是全面的, 因为它假设Tyler客户端托管在Tyler数据中心中.  如果美高梅的客户是, 然而, 托管在客户端或第三方环境中, 某些责任将不适用.  如果您是自托管客户端, 或者托管在第三方环境中的客户端, 你有关于哪些控制不适用于你的问题, 或者不适合美高梅, 请联系 CJISRequest@cascadecountywind.com.   

分担责任意味着, 至少, 美高梅的客户仍然负责管理他们的客户端环境和数据.  即使对于那些其Tyler美高梅托管在Tyler云中的客户端也是如此.  例如，美高梅的客户至少负责:

• 用户身份管理;
• Tyler方案的访问控制;
• 接入云服务的终端的安全管理和控制, 包括硬件, 软件, applications and device rights; and
• 数据安全(传输和存储安全, 完整性保护, 备份与恢复, 权利和权限).

如需共享责任矩阵副本，请发送电子邮件至 CJISRequest@cascadecountywind.com 美高梅受影响的客户应该仔细检查这个矩阵.

CJIS政策范围

CJIS安全政策分为13个政策领域. 上面提到的共同责任矩阵详细说明了哪一方负责这些政策领域内的控制, 以及如何履行这些责任.  下面是对政策领域本身以及Tyler如何解决它们的一个有意的高层总结, 是适用的.

政策范围1 -资讯交换协议

使用Tyler美高梅管理CJI的客户必须与Tyler签署书面协议，以记录他们的交互程度以及旨在确保适当保障的政策和程序.  美高梅的标准许可协议包括针对这些概念的语言. Tyler还执行了CJIS安全附录，如上所述.

政策范围2 -保安意识训练

美高梅有机会参加CJIS的人员必须完成并保持联邦调查局批准的CJIS 4级峰值表现培训.  美高梅维护安全意识培训的记录.

策略领域3 -事件响应

美高梅遵循行业标准的事件响应协议, 包括准备, 检测, 分析, 容器, 根除和恢复.  美高梅的计划是根据SOC 2, Type 2信托原则进行审计的.  需要注意的是，Tyler的客户还必须有自己的事件响应策略和程序, 因为美高梅并不代表客户管理或分类客户安全事件.

政策范畴4 -审计及问责

各机构必须为其系统中确定的事件提供生成审计记录的能力.  美高梅将协助其正在接受审计的客户，回应客户与审计有关的询问，并提供可用的信息.

策略区域5 -访问控制

Tyler实现了多种解决登录管理系统的机制, 远程访问, 以及通过FIPS 140-2标准认证的虚拟专用网络(VPN)美高梅. 美高梅还制定了Wi-Fi、蓝牙和蜂窝设备的政策和控制.

策略领域6 -识别和认证

Tyler向Tyler员工提供唯一的用户身份凭证，并要求复杂的密码, 哪些是必须定期更换的.

策略区域7 -配置管理

Tyler在Tyler网络上隔离包含CJI的数据库, 并将用户访问凭据限制为有权代表Tyler的客户访问和管理CJI的Tyler资源.  Tyler的系统配置文档包含敏感细节(比如对Tyler应用程序的描述), 流程, 程序, 数据结构, 授权过程, 数据流, 等.).  Tyler保护这样的系统文档不被公众访问.  可根据要求提供高级网络图 CJISRequest@cascadecountywind.com.

政策领域8 -媒体保护

美高梅公司确保其拥有的所有CJIS数据的所有形式, 包括电子版和硬拷贝.  美高梅的美高梅能够加密传输中的数据和静止的数据. 美高梅采用基于风险的方法来识别, 适当地分类和保护敏感信息.

策略领域9 -物理保护

美高梅已在适用的美高梅办公地点和其他美高梅区域指定了物理安全地点，美高梅资源可以访问CJI.

政策领域10 -系统和通信保护及信息完整性

美高梅采取行业标准措施来保护其网络和美高梅网络上的数据.  这些措施包括加密、防病毒工具和补丁管理功能.

政策范畴11 -正式审核

FBI不会对美高梅这样的第三方供应商进行审计. 相反，联邦调查局审计执法机构，比如美高梅的客户. 美高梅在必要时与客户合作进行审计.

政策范围12 -人事保安

美高梅进行背景调查, 包括指纹, 所有能接触到未加密的CJI的美高梅人员.  美高梅负责保存这些检查结果的记录.

政策范畴13 -流动设备

这一政策领域要求执法机构制定移动设备的使用限制和实施指南, 并授权, 监控, 控制无线接入.   

结论

数据安全性在不断发展，围绕CJIS遵从性的需求也不例外. 美高梅非常重视数据安全和CJIS合规义务, 并不断努力加强和完善其数据安全计划.  本白皮书可能会更新，以反映美高梅的最新实践, 我们鼓励您返回我们网站上的合规页面以获取最新信息.

我们致力于在这方面与客户合作. 我们为这一伙伴关系所承诺的资源是重要的, 包括CJIS安全官员的任命, 主管监督, 聘请第三方CJIS合规顾问, 参加两年一次的FBI咨询政策委员会会议, 并利用内部资源，在整个美高梅社区培养合规文化.