Understanding CJIS Online

CJIS Security Awareness Training & Testing

How to Navigate CJIS OnlineWalking you through the CJIS Online system:• Logging in as an agency administrator• Setting up user accounts• Modifying user accounts: 

– Inactivating users – Resetting login credentials

• Relaying user login credentials & testing instructions• Generating & reviewing test activity reports.

The CJIS Online  system is addressed in LEDS Rep Chapter 08 – CJIS Security Awareness Training.http://apps.oregon.gov/Application/PDFDownload/OSP/pdfdownload/osp/LEDS_CJIS_Security_Awareness_Training_Documentation.pdf

CJIS Online: Your Non-LEDS Users (…mostly)

It is your agency’s responsibility to maintain CJIS Security Awareness training documentation.

CJIS Security Awareness training shall be completed within six months of initial assignment, and biennially thereafter, for all personnel who have access to CJI. 

If your employee is not LEDS certified they will need a record in CJIS Online.• Level 1: Access to a physically controlled area• Level 2: Access to CJI • Level 3: Logical Access (typically LEDS certified, can also be RMS system)• Level 4: Personnel with Information Technology Roles/Access

OSP has provided a way for agencies to maintain their records online using the CJIS Online Portal.  

“Access” Defined

Question: What is “access”?

Answer: The physical or logical (electronic) ability, right, or privilege to view, modify, or make use of Criminal Justice Information. (As defined by the Criminal Justice Information Services (CJIS) Security Policy Version 5.2)

Personnel may have the ability to view CJI (purely based on physical proximity), but not have any permissions or rights to actually view, modify, or make use of CJI or any CJIS applications are still considered to have access to Criminal Justice Information and therefore required to be CJIS Security Awareness trained.• Contracted custodial staff at a sheriff’s office who have access to physically 

secured areas, but do not have permission to actually view or make use of the CJI stored within the secured area, are still considered to have physical access.

Physical Access

Question:What is “physical access”?

Answer: The physical ability, right, or privilege to view, modify, or make use of Criminal Justice Information (CJI) by means of physical presence within the proximity of computers and network devices (e.g. the ability to insert a boot disk or other device into the system, make a physical connection with electronic equipment, etc.).  (As defined by the Criminal Justice Information Services (CJIS) Security Policy Version 5.2)

If personnel have the ability, right, or privilege to view, modify, or make use of CJI but do NOT have credentials or privileges to electronically access CJI, they have physical access.

Example: A circuit court judge who views CJI within court case files, but does not personally electronically access or query CJI, has physical access to CJI. 

Physical Access (Level 1)

Question:Who has “physical access”?

Answer: Anyone who has unescorted (eyes‐on at all times) access to physically secure locations that process or store CJI.  Common examples include the following roles:• Janitors• Building maintenance• Radio technician vendors• Anyone given unfettered walking access to your secured location.

Escort – Authorized personnel who accompany a visitor at all times while within a physically secure location to ensure the protection and integrity of the physically secure location and any Criminal Justice Information therein. The use of cameras or other electronic means used to monitor a physically secure location does not constitute an escort. (As defined by the Criminal Justice Information Services (CJIS) Security Policy Version 5.2)

Physical Access (Level 2)

Question:Who has “physical access”?

Answer: Anyone who has unescorted (eyes‐on at all times) access to CJI.  Common examples include the following roles:• A judge who views a criminal history supplied by the DA• A public defender who views a driver’s license record

Escort – Authorized personnel who accompany a visitor at all times while within a physically secure location to ensure the protection and integrity of the physically secure location and any Criminal Justice Information therein. The use of cameras or other electronic means used to monitor a physically secure location does not constitute an escort. (As defined by the Criminal Justice Information Services (CJIS) Security Policy Version 5.2)

Logical Access (Level 3)

Question:Who has “logical access”?

Answer: Anyone who has a login to systems that access or house CJI.  Common examples include the following roles:• Any LEDS users• Any person who can log into a law enforcement records management system, 

computer aided dispatch syste, jail management system, case management system., etc.

Escort – Authorized personnel who accompany a visitor at all times while within a physically secure location to ensure the protection and integrity of the physically secure location and any Criminal Justice Information therein. The use of cameras or other electronic means used to monitor a physically secure location does not constitute an escort. (As defined by the Criminal Justice Information Services (CJIS) Security Policy Version 5.2)

Personnel with Information Technology Roles (Level 4)

Question: What does this mean? What is “IT access”?Answer: Anyone that has unescorted access to networking equipment such as: routers, switches, hubs or servers processing or storing CJI.  

– Access can be as simple as a key to the door that secures this equipment (server closet).  

– This can also be as complex as vendors with (unescorted) VPN access to systems that process CJI.

Logging In to CJIS Online

Log in to CJIS Online as an agency: https://www.cjisonline.com/index.cgi

If you cannot log in, call or email CJIS Training to reset your password.

Agencies can set only one admin for CJIS online.

Logging In to CJIS Online Your login credentials are unique to you and your agency:

CJIS Online – Agency Options

This is your agency home screen, which lists all the options available to you toadministrate your agency, add vendors, and run reports.

Setting Up New CJIS Online Users

To add new users, go to IT & Agency User Admin:

Setting Up New CJIS Online Users

Your existing users will be listed alphabetically.You can add new users by clicking on the “Add New IT or Agency Employee” button:

Setting Up New CJIS Online Users

You will need to provide the below information for 

new users.The fields with an asterisk are the only required fields.

You can set the password to any secure password appropriate for your agency. Please do notuse personal identifying information such as a driver’s license number.  

Make a note of the employee’s login credentials – you will relay them so they can start the training process.

You will be asked to assign the user either level 1, level 2,  level 3 or level 4 training.

Remember LEDS users are level 3; their CJIS training is covered during their online recertification process.  You do not need to set up CJIS accounts for LEDS staff.

If the New Account is Rejected

If you get an error message saying this is a duplicate record, this means this user has already been created by another agency.  CJIS Training can either transfer the user to be active for 

your ORI, or in the case of vendors, send you their information for your records. DO NOT CREATE DUPLICATE USER ACCOUNTS.

Email us: Training.CJIS@state.or.us

Setting Up New CJIS Online UsersYour newly added employee will now be listed in your “IT & Agency Employees” list.

You may click on the magnifying glass to view their record, edit their credentials, or inactivate their record.

Setting Up New CJIS Online Users

You can edit your employee’s CJIS Online record, including their name and login credentials.  You can add training and certification history and update their fingerprint date.

Email the New CJIS Online User and Relay Their Login Credentials

Monitoring Testing ActivityBy logging in as a “Local Agency Admin,” you can also run reports to monitor your agency’s 

testing activity. 

Monitoring Testing ActivityRegularly reviewing your certification expiration report gives you an agency‐wide 

perspective of your upcoming expiration dates.  Be proactive and administer training & testing reminders 60 days in advance to give your users plenty of time to complete the 

testing process.

Certification Expiration ReportThis command will generate a list of all the expiration dates for your entire agency, including active employees with no training history.

Certification Expiration ReportThis report will list all the certification expiration dates in the database for your agency.

Pay special attention to the employees for whom you have created accounts,but who have not completed the necessary training activity.

From the User’s Perspective…

Logging In to CJIS Online

Vendor employees with login by clicking “Vendor Access.”Your agency employees will login by clicking   “IT & 

AGENCY USERS.”

No Oregon users should attempt to login here.  It 

won’t work.

The Login Screen Should Look Like This…

IT & Agency Employee MenuStep 1: Click “TRAINING”

A pop‐up window will appear, confirming the level at which the employee is training.Click “Begin Training.”

Training Modules

The user must complete the entire training module.They can navigate within the slides with the arrow buttons on the bottom right corner of the screen.

If their training session is interrupted, users can exit the training and return later– the system will allow them to continue where they left off.

IT & Agency Employee MenuStep 2: Click “TESTING”

Once again, a pop‐up window will appear, asking the user to confirm they have completed the required training materials.

Reviewing the training materials is required EVERY TIME the user completes CJIS Security Awareness Training.

Confirm Level & Take the Test

Is this the correct level? Click here!

Not the correct level? Click here and contact your LEDS Rep

Congratulations! You passed!

Users must score 70% or above to pass their CJIS Security Awareness test.  Any incorrect answers will be displayed on this confirmation page.

To Print or Save Certificate

Click “Print Your Certificate” to print or save your certificate as a pdf.This is optional– the user’s certification information (and a link to print the certificate later) will be available to the LEDS Rep through the “Local Agency Admin” login.Be sure to track the user’s certification expiration date– they will need to complete the training and testing again within two years.

Congratulations!

Questions?

Reference LEDS Rep Chapter 08 – CJIS Security Awareness Training  for more information.

http://apps.oregon.gov/Application/PDFDownload/OSP/pdfdownload/osp/LEDS_CJIS_Security_Awareness_Training_Documentation.pdf

Contact InfoTraining.CJIS@state.or.us

503‐378‐2121 (Fax)

Kendele Miyasaki, Training Coordinatorkendele.miyasaki@state.or.us

503‐934‐0300 (Desk)

Nick Harris, CJIS Information Security Officernicholas.c.harris@state.or.us

503‐934‐2335