网络安全是整个组织的共同责任，由我们的首席信息和数字官领导，他每季度向审计委员会提供最新情况，每年两次向董事会提供最新情况。此外，Greif 的网络团队会定期进行安全成熟度评估和路线图更新，以确保我们的计划继续满足 Greif 的需求并符合行业最佳实践。

我们利用安全仪表板与高管、企业风险管理团队和董事会共享信息。仪表板使用美国国家标准与技术研究所网络安全框架作为参考来跟踪我们的绩效。我们还制定了网络安全事件响应计划和全球业务连续性计划，其中概述了我们在事件发生时应对和减轻影响的步骤。

Greif 制定了内部政策来保护我们的数据，包括我们的 记录管理和保留政策, 数据隐私政策、信息安全政策和 IT 采购与支出政策，所有这些政策均指导我们的数据安全实践，使其符合行业框架和法规，例如《萨班斯-奥克斯利法案》和欧盟《通用数据保护条例》（GDPR）。Greif 的 IT 团队每年都会根据这些政策对与《萨班斯-奥克斯利法案》相关的 IT 控制流程进行审核，并为同事安排 GDPR 和数据隐私概念培训，以确保我们达到或超过政策和监管要求。2023 年，我们全球的同事接受了数据隐私培训，涵盖了 GDPR 和其他相关隐私法规的要素。在处理个人数据更为常见的职位（例如人力资源或 IT 职位）中的同事收到了有关我们对保护个人信息的期望和承诺的更多详细信息。2023 年，约有 93% 的相关同事完成了数据隐私培训。

网络安全、人力资源和法律部门的成员每月都会开会，监测和讨论数据隐私方面的监管变化，并审查确保合规所需的行动。我们还与行业和地区协会和财团合作，支持涉及法规、新兴技术问题和网络安全最佳实践的知识共享。

为了保护客户和同事的数据，我们遵循“需要知道”的模式，以限制有权访问内部和外部安全信息的人数。此外，为了确保机密数据的妥善管理，我们通过协议和合同条款获得同意，并遵守所有相关法规。我们实施软件解决方案来保护和加密我们的端点，以限制我们暴露于潜在数据泄露的风险，并继续教育同事我们的 记录管理和保留 和 資料保隱 政策。此外，我们定期与经过验证的服务提供商一起安全地销毁硬件和机密信息的硬拷贝。

网络安全和意识培训使我们的同事能够识别和应对潜在威胁，并最大限度地降低数字和物理风险。我们为同事提供个人信息安全、网络安全卫生和一般互联网安全等主题的培训。所有可以使用计算机的同事（包括我们的执行领导团队）都必须完成培训。所有行政和专业同事都接受了网络和隐私培训，93% 的受训同事在 2023 年完成了培训。

我们除了一般安全培训外，还专门开展了网络钓鱼培训。我们的计划包括每月向我们的行政和专业同事发送模拟网络钓鱼电子邮件。这些邮件测试他们识别和举报可疑邮件的能力。未成功识别和举报的人员将接受额外培训，以帮助他们识别网络钓鱼风险。

我们的同事还会收到每季度的新闻通讯，以提升网络安全意识，每周的安全提示涵盖从密码安全到避免网络钓鱼诈骗等主题，并通过 Greif University 获得外部安全培训内容的链接。我们每年 10 月还会举办年度网络安全月宣传活动。

我们通过安装标签阅读器和 PIN 码锁来保障设施的物理访问，并且我们要求从设施提货的每批货物都提供提货单。此外，整个供应链都使用防篡改外壳，让客户确信他们的产品受到保护且安全。

Greif 为同事提供各种选项，以报告可疑行为、潜在数据泄露、网络钓鱼活动和其他事件。Greif 的道德热线也可供所有同事报告关注的问题。