我们的数据安全实践符合萨班斯-奥克斯利法案， 欧盟通用数据保护条例 （GDPR）和 Greif 的 记录管理和保留政策. Greif 的信息技术团队由我们的全球 IT 安全经理领导，负责管理数据安全，包括 IT 控制流程的年度审计、数据权限的季度审查和季度网络钓鱼模拟。Greif 高管通过网络安全仪表板接收更新，我们还每季度与 Greif 的企业风险管理团队和董事会共享该仪表板。仪表板使用 美国国家标准与技术研究院 NSF 成熟度指数评分. Greif 的副总裁兼首席行政官定期向董事会提供与安全相关的更新信息。

如果 Greif 成为网络安全漏洞的受害者，我们会制定 IT 服务网络事件和响应计划以及 IT 服务全球业务连续性计划，其中概述了我们快速响应和减轻事件影响的步骤。2021 年，我们与执行领导团队进行了基于场景的桌面练习，以测试我们的 IT 服务网络事件和响应计划以及 IT 服务全球业务连续性计划。从关键学习中，我们发现了机会并制定了额外的剧本来支持事件识别和遏制。我们与行业和区域协会和联盟合作，支持事件响应、业务连续性和网络安全最佳实践的知识共享。

2018 年，我们与第三方合作伙伴合作进行了网络安全成熟度评估。我们开始着手实施成熟度评估的结果，并制定了为期三年的网络安全战略。作为该战略的一部分，我们已对 Greif 的公开应用程序实施了单点登录 (SSO) 和多因素身份验证 (MFA)。我们已实施具有端点检测和响应服务的下一代防病毒解决方案。2021 年，我们扩展了监控和检测潜在问题以及自动化检测和预防流程的能力。我们还为第三方风险管理奠定了基础，并有望在 2022 年实施该计划。此外，我们已在欧洲实施解决方案，将物理网络访问限制为仅限 Greif 授权的设备，并计划从 2022 年开始将这项工作扩展到北美。我们正在进行另一项成熟度评估，以衡量我们的进展并确定进一步改进安全方法的机会。

我们安全运营的核心是培训。网络安全和意识培训有助于提高同事识别和应对潜在威胁的能力，并最大限度地降低数字和物理空间的风险。我们为同事提供网络钓鱼攻击、网络安全卫生和一般互联网安全等主题的培训。完成培训后，所有同事必须完成季度检查，确保保留知识并付诸实践。任何可以使用计算机的同事，包括我们的执行领导团队，都必须接受培训。同事们还会收到每季度的新闻通讯，以促进网络安全意识，每周还会收到安全提示，主题包括从密码安全到避免网络钓鱼诈骗，他们每年 10 月都会参加我们的年度网络安全月。此外，我们还邀请外部演讲者通过 Greif University 提供的现场网络研讨会和录音向我们的同事进行演讲。

每月，Greif 的网络安全、人力资源和法律部门成员都会开会讨论如何遵守当前和新兴的数据安全和数据隐私法规。我们监控监管变化和确保合规所需的行动。Greif 在 2021 年没有收到有关侵犯客户隐私的有根据的投诉，也没有发现客户数据泄露、被盗或丢失的情况。为了保护客户数据，我们遵循需要知道的模型来限制可以访问安全信息的人数。今年，我们实施了软件解决方案来保护和加密我们的端点，以限制我们暴露于潜在数据泄露的风险，并通过手动标记对我们的数据进行分类。我们的同事现在能够根据我们新的数据分类框架，使用适当的数据分类自行标记他们的信息和电子邮件。我们还在 2021 年推出了一项新培训，让同事了解我们的记录管理和保留以及数据隐私政策。为了进一步遵守 GDPR，我们为 EMEA 的同事进行了 GDPR 培训，并开始建立正式的数据分类框架。 2022 年，我们将继续监控和调整保护客户隐私的方法。

为了管理我们建筑物的物理安全，Greif 在我们的设施中安装了标签读取器和 PIN 码锁。我们要求从我们的设施提货的每批货物都提供提货单。Greif 通过提供防篡改封盖来支持整个供应链的产品安全。