我们的数据安全实践符合 Sarbanes-Oxley、欧盟通用数据保护条例(GDPR) 和 Greif 的记录管理和保留政策。 Greif 的信息技术团队由我们的全球 IT 安全经理领导，负责管理数据安全，其中包括 IT 控制流程的年度审计、数据权限的季度审查和季度网络钓鱼模拟。 Greif 高管通过网络安全仪表板接收更新，我们也每季度与 Greif 的企业风险管理团队和董事会共享该仪表板。 仪表板使用美国国家标准与技术研究院 NSF 成熟度指数分数来跟踪我们的表现。 Greif 的副总裁兼首席行政官会定期向董事会提供与安全相关的更新。

如果 Greif 成为网络安全漏洞的受害者，我们会维护 IT 服务网络事件和响应计划以及 IT 服务全球业务连续性计划，其中概述了我们快速响应和减轻事件影响的步骤。 2021 年，我们与执行领导团队进行了基于情景的桌面练习，以测试我们的 IT 服务网络事件和响应计划以及 IT 服务全球业务连续性计划。 从关键的经验教训中，我们发现了机会并开发了额外的手册来支持事件识别和遏制。 我们与行业和地区协会及财团合作，支持事件响应、业务连续性和网络安全最佳实践的知识共享。

2018 年，我们与第三方合作伙伴进行了网络安全成熟度评估。 我们开始着手实施成熟度评估的结果，并制定了一项为期三年的网络安全战略。 作为该策略的一部分，我们对 Greif 的公开应用程序实施了单点登录 (SSO) 和多因素身份验证 (MFA)。 我们已经实施了具有端点检测和响应服务的下一代防病毒解决方案。 2021 年，我们扩展了监控和检测潜在问题以及自动化检测和预防流程的能力。 我们还为第三方风险管理奠定了基础，并预计在 2022 年实施该计划。 此外，我们在欧洲实施了解决方案，将物理网络访问限制为仅限 Greif 授权的设备，并计划从 2022 年开始将这项工作扩展到北美。 我们正在进行另一次成熟度评估，以衡量我们的进展并确定进一步改进我们的安全方法的机会。

我们安全运营的核心是培训。 网络安全和意识培训有助于提高我们同事识别和应对潜在威胁的能力，并将数字和物理空间中的风险降至最低。 我们对同事进行网络钓鱼攻击、网络安全卫生和一般互联网安全等主题的培训。 完成培训后，所有同事必须完成季度检查，确保知识得以保留并付诸实践。 任何可以使用计算机的同事（包括我们的执行领导团队）都必须接受培训。 同事们还会收到季度通讯，宣传网络安全意识和每周关于从密码安全到避免网络钓鱼诈骗等主题的安全提示，他们每年 10 月都会参加我们的年度网络安全月。 此外，我们还接待了外部演讲者，通过 Greif 大学提供的实时网络研讨会和录音向我们的同事介绍。

Greif 的网络安全、人力资源和法律部门的成员每个月都会开会讨论对当前和新兴数据安全和数据隐私法规的遵守情况。 我们监控监管变化和所需的行动，以确保合规。 Greif 没有收到任何关于侵犯客户隐私的经证实的投诉，并且在 2021 年未发现任何客户数据的泄漏、盗窃或丢失。为了保护客户数据，我们遵循需要知道的模型来限制可以访问安全信息的人数。 今年，我们实施了软件解决方案来保护和加密我们的端点，以限制我们对潜在数据泄露的风险，并通过手动标记对我们的数据进行分类。 我们的同事现在能够根据我们新的数据分类框架，使用适当的数据分类，对他们的信息和电子邮件进行自我标记。 我们还在 2021 年启动了一项新培训，以向同事介绍我们的记录管理和保留以及数据隐私政策。 为了进一步遵守 GDPR（欧盟通用数据保护条例），我们为EMEA （欧洲、中东和非洲地区）的同事开展了GDPR（欧盟通用数据保护条例）培训，并开始建立正式的数据分类框架。 2022 年，我们将继续监控和调整我们保护客户隐私的方法。

为了管理我们建筑物的物理安全，格瑞夫在我们的机构中安装了标签阅读器和PIN码锁。 我们要求，从我们的机构中提取的每批货物都要有提单。 格瑞夫通过提供防篡改封口来支持我们整个供应链的产品安全。