ServiceNow Certified Implementation Specialist - Vendor Risk Management (CIS-VRM)

认证概述

ServiceNow Certified Implementation Specialist - VRM（CIS-VRM）验证你能在 ServiceNow 上实施 Vendor Risk Management（VRM）模块，帮助企业管理第三方供应商的安全和合规风险。随着供应链攻击（SolarWinds、Log4j）和监管要求（GDPR 第三方数据处理条款、澳洲隐私法 APP 8）日益收严，企业必须对供应商进行系统化的 TPRM（Third-Party Risk Management）管理。VRM 流程：供应商入职（Onboarding）→ 风险评估问卷发送（Assessment Questionnaire）→ 供应商填写和提交 → 自动评分和风险分级（Vendor Tier）→ 合同合规追踪 → 持续监控（Ongoing Monitoring）→ 异常预警 → 风险缓解。VRM 和 CIS-RC 都属于 ServiceNow GRC 产品家族，但 VRM 专注于外部第三方，RC 专注于内部合规。60 题、90 分钟、及格线 70%，$250 考试费。

考试领域

• 供应商生命周期管理（Vendor Lifecycle Management）：Vendor（供应商）和 Vendor Contact 的创建与管理；入职（Onboarding）流程和必要文件清单；供应商档案更新和变更管理；退出（Offboarding）流程 —— 合同终止、数据清理；供应商目录和分类管理
• 风险评估问卷（Assessment Questionnaire）：Assessment Template 的设计（问卷题型：Single Choice/Multiple Choice/Text/Attachment）；问卷发送和截止日期管理；供应商填写门户（Vendor Portal）配置；自动评分规则（Scoring Rules）；评估结果与 Vendor Risk Score 的关联；重新评估（Reassessment）周期配置
• 供应商分级与分类（Vendor Tiering & Classification）：Vendor Tier（供应商分级，如 Tier 1/2/3，对应不同的监控频率和评估深度）；Tier 分级标准配置（基于数据敏感度/业务重要性/合同金额）；Vendor Category（类别，如 Cloud Provider/Professional Services/Hardware Vendor）；Critical Vendor 识别和特殊处理
• 持续监控（Ongoing Monitoring）：Monitoring Task 自动创建规则；Monitoring Schedule（按供应商 Tier 设置不同监控频率）；外部风险信号集成（如 BitSight/RiskRecon 评分导入）；阈值预警和自动通知；供应商 KPI 追踪仪表板
• 合同合规追踪（Contract Compliance Tracking）：Contract 与 Vendor 的关联；SLA/KPI 条款监控；合同到期预警；合规声明（Attestation）流程
• VRM 报表与仪表板：Vendor Risk Posture Dashboard；Third-Party Risk Summary Report；Exception 和 Issue 追踪

适合人群

ServiceNow VRM 实施顾问（ServiceNow VRM Consultant）在企业采购合规和第三方风险管理项目中负责 VRM 模块配置，以及采购合规专员（Procurement Compliance Specialist）和信息安全经理希望获得 ServiceNow 官方认证的从业者。