我们的数据安全实践符合 《萨班斯-奥克斯利法案》、 《欧盟通用数据保护条例（GDPR）》和格瑞夫的 记录管理和保留政策。 格瑞夫的信息技术团队由我们的全球信息技术安全经理领导，其负责管理数据安全，包括信息技术控制流程的年度审计、数据权限的季度审查和季度网络钓鱼模拟。 我们安全运营的核心是培训。 所有可以使用计算机的同事都必须完成季度网络安全培训，接收促进网络安全意识的季度通讯，接收关于从密码安全到避免网络钓鱼诈骗等主题的每周安全提示，并参加每年10月的年度网络安全月。 格瑞夫高管通过网络安全板接收更新。每季度，该网络安全板会被分享至格瑞夫的企业风险管理团队和董事会。 该网络安全板目前使用美国国家标准与技术研究院 NSF（国家科学基金会）成熟度指数评分来跟踪我们的绩效。 如果格瑞夫成为网络安全漏洞的受害者，我们将维护《信息技术服务网络事件和响应计划》以及 《信息技术服务全球业务连续性计划》，其中概述了我们快速响应和减轻事件影响的步骤。 格瑞夫没有收到有关侵犯客户隐私的经证实的投诉，并且在2020年未发现任何客户数据泄露、盗窃或丢失。

为了管理我们建筑物的物理安全，格瑞夫在我们的机构中安装了标签阅读器和PIN码锁。 我们要求，从我们的机构中提取的每批货物都要有提单。 格瑞夫通过提供防篡改封口来支持我们整个供应链的产品安全。

自2018年以来，我们一直在努力执行我们与第三方合作伙伴合作进行的网络安全成熟度评估的结果。 我们推出了年度在线网络安全和意识培训，以帮助提高我们的同事识别和应对潜在威胁的能力，并将数字和物理空间中的风险降至最低。 完成培训后，我们的每位同事都必须完成季度检查，确保其理解知识并付诸实践。 所有可以使用计算机的同事（包括我们的执行领导团队）都必须接受培训。 为了进一步遵守 GDPR（欧盟通用数据保护条例），我们为EMEA （欧洲、中东和非洲地区）的同事开展了GDPR（欧盟通用数据保护条例）培训，并开始建立正式的数据分类框架。 该框架将帮助我们更好地理解并最终管理我们存储的个人信息。

格瑞夫的网络安全和法律部门的成员每个月都会开会讨论遵守当前已有的和新的数据安全和数据隐私法规的情况。 我们监控监管变化和所需的行动，以确保合规。

2019 年，我们制定了一项为期三年的网络安全战略，并于 2020 年开始实施。 作为该战略的一部分，我们对格瑞夫公开的应用程序实施了单点登录（SSO）和多因素认证（MFA）。 我们还实施了具有端点检测和响应服务的下一代防病毒解决方案。 我们的同事现在能够根据我们新的数据分类框架，使用适当的数据分类，对他们的信息和电子邮件进行自我标记。 2021年，我们将继续发展以工业物联网、第三方风险管理和事件响应能力为重点的网络安全战略。