Dr hab. Stanisław Piocha, prof. PK Politechnika Koszalińska Instytut

POLITECHNIKA KOSZALIŃSKA
INSTYTUT EKONOMII I ZARZĄDZANIA
EIZ
_
I ^F
S K F
%Ł
KOSZALIN UNIVERSITY O F TECHNOLOGY
THE ECONOMICS AND MANAGEMENT INST1TUTE
E. Kw akowskiego 6E
75-343 Kosralir. Potond
Tel. (94) 343-9114.. Fax (94) 343-9113
www.ieiz.tu koszalin.pi e-mail: ieiz@tu koszalin.pl
Dr hab. Stanisław Piocha, prof. PK
Politechnika Koszalińska
Instytut Ekonomii i Zarządzania
Recenzja
Rozprawy doktorskiej mgr Zdzisława Długosza
pt: „Zarządzanie bezpieczeństwem systemu ochrony informacji stanowiących
tajemnice przedsiębiorstwa posiadającego infrastrukturę krytyczną",
napisanej na Wydziale Dowodzenia i Operacji Morskich Akademii Marynarki Wojennej
pod kierunkiem dr hab. Marka Grzybowskiego prof. AMW
1. Uwagi ogólne
Wymogiem rozprawy doktorskiej, przygotowywanej pod opieką promotora jest, aby
stanowiła ona oryginalne rozwiązanie problemu naukowego oraz wykazywała ogólną wiedzę
teoretyczną kandydata w danej dyscyplinie naukowej, a także jego umiejętność
samodzielnego prowadzenia pracy naukowej. Podejmując się recenzji rozprawy doktorskiej
mgra Zdzisława Długosza pt: „Zarządzanie bezpieczeństwem systemu ochrony informacji
stanowiących tajemnice przedsiębiorstwa posiadającego infrastrukturę krytyczną", starałem
stwierdzić na ile rozprawa ta spełnia wymienione wymogi.
W recenzji rozprawy doktorskiej mgra Zdzisława Długosza, w sposób syntetyczny
wykorzystałem informacje składające się na następujące kryteria: temat rozprawy, cel pracy,
metodykę badań (tezy) i źródła materiałów, wykorzystanie i interpretację nagromadzonych
danych i informacji; osiągnięcia badawcze; zauważone usterki; wnioski z badań i ich
przydatność dla praktyki i teorii oraz kompozycję i stronę warsztatową całej rozprawy.
Rozprawę przeczytałem z dużym zainteresowaniem, gdyż wywody Autora są
przekonywujące. Opisuje On w sposób kompetentny, a przy tym komunikatywny- na
podstawie przeprowadzonej analizy logicznej oraz empirycznej- zagadnienie stosunkowo
nowe w praktyce funkcjonowania polskich przedsiębiorstw. Nazywając zagadnienie
stosunkowo nowym mam na myśli fakt, iż nie jest ono w zadawalającym stopniu rozpoznane
w praktyce gospodarczej.
2. Wybór przedmiotu i tematu rozprawy oraz ich istotność
Zarządzanie bezpieczeństwem w organizacjach gospodarczych nie do końca jest
procesem zidentyfikowanym. Szczególnego znaczenia nabiera w naukowym
poznaniu proces sterowania tymi zagadnieniami w organizacjach gospodarczych
posiadających infrastrukturę krytyczną, tym bardziej trudno jest ustalić jak sprawniej i
skuteczniej poddać ochronie wymienioną infrastrukturę.
Dynamizm współczesnego zglobalizowanego, do pewnego stopnia, świata
systemów gospodarczych, niesie z sobą narastającą konkurencje a zatem korzyści i
zagrożenia. Przeciwdziałanie zagrożeniom w ich złożonej naturze płynącym do
przedsiębiorstwa z otoczenia a także zagrożeniom powstającym w samym
przedsiębiorstwie, staje się czynnikiem współdecydującym o przewadze nad
konkurencją. Funkcjonowanie przedsiębiorstw w warunkach konkurencji globalnej
znaczenie tego czynnika jeszcze nasila się.
Dlatego Autor postawił kilka szczegółowych problemów do rozwiązania, aby
ograniczyć interdyscyplinarną rozległość badawczą i skupić się na badaniu problemu
z punktu widzenia teorii organizacji i zarządzania. Autor starał się znaleźć dosyć
satysfakcjonującą odpowiedź na wyzwanie zawarte w pytaniu: w jaki sposób
doskonalić funkcje zarządzania, aby sprostać wyzwaniom współczesnego
świata?.
Aktualność i istotne znaczenie tak postawionego pytania są oczywiste i
jednocześnie uzasadniają podjęcie rozważań na ten temat w recenzowanej
rozprawie.
3. Cel pracy, tezy i hipoteza
Cele rozprawy zostały przez Autora postawione w trzech płaszczyznach
(wprawdzie Autor bezpośrednio tych trzech płaszczyzn nie zdefiniował jednak z
treści rozprawy one jednoznacznie wynikają). Mam na myśli płaszczyzny:
teoretyczną, metodyczną i empiryczną. W pierwszej płaszczyźnie Doktorant
zamierza ustalić istotę bezpieczeństwa informacji i zdefiniować system zarządzania
tym bezpieczeństwem. W drugiej płaszczyźnie podejmuje się trudu opracowania
metody budowy koncepcji skutecznego zarządzania bezpieczeństwem informacji w
organizacjach gospodarczych posiadających infrastrukturę krytyczną. Zbudowana
koncepcja jest przejrzysta i przekonująca.
W trzeciej płaszczyźnie - w zakresie utylitarnym prezentuje Autor wyniki badań
empirycznych, ukazujących słabe ogniwa w istniejącym systemie zarządzania
bezpieczeństwem w badanych organizacjach gospodarczych. Jest to równocześnie
kanwa budowy przez Autora projektu modelu podwyższającego sprawność i
skuteczność zarządzania bezpieczeństwem informacji. Dla osiągnięcia postawionego
celu a zatem rozwiązania problemu badawczego Autor sformułował pięć tez
głównych w formie pytań szczegółowych. Stanowiło to podstawę przyjęcia hipotezy
badawczej, jako przypuszczeniu: „zarządzanie bezpieczeństwem informacji
stanowiących tajemnice przedsiębiorstwa, jako stanem pożądanym, wymaga, dla
swojej skuteczności, skonstruowania modelu zarządzania". Tak sformułowana
hipoteza wypełnia jej istotę metodologiczną. Dla jej weryfikacji Autor zbudował
2
strategię procesu badawczego, nazywając go „metodycznym schematem badań",
obejmującym dwa bloki postępowań badawczych ( blok empiryczny i blok
teoretyczny s. 18 - 23). Wymienionej strategii badawczej przyporządkowana jest
struktura pracy (rozdziały II do IV).
4. Struktura rozprawy
Rozprawa doktorska mgr Zdzisława Długosza pt.: „Zarządzanie
bezpieczeństwem systemu ochrony informacji stanowiących tajemnice
przedsiębiorstwa posiadającego infrastrukturę krytyczną", obejmuje łącznie 199 stron
(w tym 185 stron poświęconych tematyce merytorycznej) i składa się ze wstępu,
zakończenia oraz czterech rozdziałów ilustrowanych 27 rysunkami i 3 tabelami. W
pracy wykorzystano literaturę i dokumenty obejmujące 281 pozycji, w tym 13
obcojęzycznych. Przeważnie jest to literatura najnowsza. Zasób wykorzystanej
literatury i sposób wykorzystania oceniam pozytywnie. Rozdziały ( z wyjątkiem uwagi
zawartej poniżej) stanowią ciąg logiczny rozważań i badań Autora. Kolejne rozdziały
podzielone zostały na podrozdziały i tezy, będące kolejnymi krokami Autora w
przechodzeniu, z jednej strony od rozważań teoretycznych do praktyki gospodarczejtworzenia projektu modelu zarządzania bezpieczeństwem, z drugiej zaś od analizy
dokumentów normujących zachowanie się podmiotów gospodarczych w różnych
sytuacjach naruszających - zdefiniowaną sytuację bezpieczeństwa do ukazania luk
w tych normach, które projektowanym systemem Autor zamierza wypełnić.
5. Ocena merytoryczna rozprawy
Prezentując merytoryczną ocenę rozprawy pragnę zwrócić uwagę na jej
prawidłową konstrukcję i zachowanie proporcji pomiędzy poszczególnymi częściami.
Logiczny i przejrzysty układ, bogaty, ale nieudziwniony język (profesjonalna
terminologia), właściwy i zróżnicowany dobór nowoczesnego warsztatu badawczego
należą do mocnych stron warsztatowej warstwy rozprawy i dojrzałości naukowej
doktoranta.
W rozdziale pierwszym Doktorant przedstawił rozważania i uzasadnienie
postępowania badawczego a zatem z zakresu metodyki badań naukowych w nauce
o zarządzaniu. Rozważania te są głęboko osadzone w literaturze metodologicznej,
którą Doktorant trafnie wykorzystuje dla ukazania kolejnych etapów zamierzonego
postępowania badawczego. W treści rozdziału dostrzec można koncepcję badawczą
i strategie badania, problemy szczegółowe oraz metody i techniki badawcze, a także
zamierzoną kwantyfikację wyników badań ( w spisie treści w odniesieniu do tego
podrozdziału jest błąd s. 2. podrozdz. 4. Kwantyfikacja przyjętej metodyki powinno
być: kwantyfikacja wyników przyjętej metodyki).
Treść rozdziału drugiego wypełniona została systematyką pojęć niezbędnych
dla identyfikacji systemu zarządzania bezpieczeństwem informacji. Doktorant na
podstawie dokumentów normatywnych i współczesnej literatury z zakresu
zarządzania bezpieczeństwem ( polskiej i obcojęzycznej) zdefiniował istotę
zarządzania ochroną tajemnicy przedsiębiorstwa, wskazując na jego podstawowe
elementy, jej miejsce w strategii konkurencji oraz istotę zagadnień związanych z
ochroną infrastruktury krytycznej.
3
Znaczącym dorobkiem w tej części jest usystematyzowanie pojęć zawartych w
różnych dokumentach, a bardzo istotnych z punktu widzenia zarządzania
bezpieczeństwem informacji w przedsiębiorstwie posiadającym infrastrukturę
krytyczną. Dalej Doktorant dokonał charakterystyki takich pojęć jak: informacja,
tajemnica, bezpieczeństwo, system, czyli główne elementy zarządzania
bezpieczeństwem informacji. Charakteryzuje także w tym rozdziale istotę ochrony
informacji stanowiących tajemnice przedsiębiorstwa. Kolejnym zagadnieniem
zawartym w treści rozdziału jest opis podstawowych zagrożeń dla informacji
stanowiących tajemnice przedsiębiorstwa. Jest to część rozważań Doktoranta
stanowiąca praktyczne uzasadnienie podjętych badań i ich efektu.
Rozdział trzeci w swej treści identyfikuje elementy składowe systemu ochrony
tajemnicy przedsiębiorstwa. Jest to ujęcie wielo płaszczyznowe. Doktorant zwraca tu
główną uwagę na płaszczyźnie podmiotowej ( pracownicy), na procesach
identyfikując organizację w ujęciu czynnościowym, proces szkolenia, ochrona
fizyczna, przepływ informacji i struktura tego przepływu, trzecią płaszczyzną są stany
(bezpieczeństwa, zagrożeń, ryzyka, kryzysu) i ich główne źródła w przedsiębiorstwie.
Rozdział czwarty poświęcił Doktorant na stworzenie i uzasadnienie ( opartym
na identyfikacji incydentów naruszenia bezpieczeństwa informacji) modelu
zarządzania bezpieczeństwem informacji. Zbudowany model jest moim zdaniem
kompletny i przekonywujący. Dorobek Doktoranta zawiera się w inżynierii modelu
jego podmiotowej i przedmiotowej harmonizacji wraz z przypisaniem kompetencji
podmiotom funkcyjnym, a także opracowanie procedur niezbędnych dla wdrożenia
modelu do praktyki.
Reasumując ogólną ocenę rozprawy stwierdzam, że:
- Po pierwsze; zaprezentowane postępowanie badawcze porządkuje
stan wiedzy na temat zarządzania bezpieczeństwem informacji w
organizacjach gospodarczych o szczególnym znaczeniu,
- Po drugie; zawiera oryginalną diagnozującą identyfikację
rozwiązywanego problemu badawczego,
- Po trzecie; dostarcza, w postaci projektu i wniosków z badań,
wypracowanego logicznie narzędzia, mogącego podwyższyć
skuteczność zarządzania bezpieczeństwem informacji
przedsiębiorstwach.
Ponadto rozprawa:
Przedstawia dobrą orientację w badaniach nie tylko
krajowych w zakresie podjętego zagadnienia, wskazując,
iż Doktorant posiadł umiejętność prowadzenia krytycznej
analizy piśmiennictwa i uporządkowania wiedzy,
Wyróżnia się poprawnością konstrukcyjną, relatywnie
wyrównanym poziomem rozdziałów i ich pełną
kompatybilnością oraz językiem precyzyjnym, lecz nie
hermetycznym, pozwalającym na łatwe przyswajanie
proponowanej wiedzy,
Stanowi twórczy przyczynek dostarczający menedżerom
polskich przedsiębiorstw konkretnych argumentów
przemawiających za koniecznością doskonalenia
systemu zarządzania bezpieczeństwem informacją.
4
6. Uwagi metodyczne i edytorskie
W mojej ocenie wstęp pracy jest zbyt obszerny i rozdziela cel pracy i hipotezę
badawczą od strategii badawczej, ujmującej zarówno operacje poznania
naukowego, jak też metody badawcze, które służą weryfikacji hipotezy. Autor
rozumiejąc to sztuczne rozdzielenie zmuszony został do koniecznych powtórzeń
w rozdziale pierwszym stwierdzeń zawartych we wstępie ( s. 10 i s. 29). Wydaje
się, że trafniejsze byłoby włączenie części wstępu ( od s.7-11) do rozdziału
pierwszego i nazwanie tego rozdziału Np.: „ Metodologiczne podstawy pracy".
Uwaga ta nie umniejsza wartości poznawczej i empirycznej dorobku Autora.
Mało precyzyjnie jest wyjaśniony, przyjęty przez Autora teren badań (ujęcie
podmiotowe). Na s. 8- 9 Autor wyjaśnia, że terenem badań było 10
przedsiębiorstw, na s. 24, Autor dodaje, jakie branże przedsiębiorstwa
reprezentowały („ przemysł wydobywczy, przetwórstwo chemiczne i świadczyły
różne usługi o charakterze strategicznym"), dalej stwierdza: „Ich dobór wynikał z
ich reprezentatywności w danym rodzaju działalności na terenie Unii Europejskiej
oraz przemyślanej ze względu na cel działania ich struktury organizacyjnej..", Na
s. 25 Autor wyjaśnia, że procedurom wdrożeniowym i badawczym poddano 4
przedsiębiorstwa z załącznika do Rozporządzenia Rady Ministrów i dodatkowo 1
przedsiębiorstwo szczególnie ważne. I dalej Autor stwierdza: „ Z cytowanych
wyżej wykazów, jako obiekty badane pilotażowo i ostatecznie w ciągu 8 lat,
znalazło się 12 przedsiębiorstw". W efekcie czytelnik nie wie, co jest populacją
generalną i jakie kryteria ilościowe i jakościowe były podstawą doboru próby i co
to jest próba reprezentatywna oraz ile tych przedsiębiorstw poddano badaniom.
(Z tego wykazu 4 przedsiębiorstwa, podczas gdy w wykazie jest ich 197).
Jest to równocześnie prośba do Doktoranta: proszę o przybliżenie
przyjętych zasad doboru zbiorowości badawczej przy podmiotowym
określeniu terenu badań i jak to odnosi się do zasad statystycznych.
Doktorant nie ustrzegł się pewnych potknięć edytorskich. Do nich zaliczam
przede wszystkim:
- Kończenie podrozdziałów cytatem, ilustracją albo przypisem (s. 34, 37,
41,60,148);
- Brak nazwiska autora dzieła, na które się Doktorant powołuje (s.27);
- W przypisach nie podaje stron, do których się odnosi (s. 6, 10, 11, 12,
13, 15, 16, 17, 20, 27, 34, 42, 55, itd.);
- W przypisie stosuje skrót „op. cit." (cytowane dzieło) zamiast „tamże" (s.
7, 8, 12, 60, itd.), a skrót „op. cit." zastępuje „..." (12,14);
- Źródło pod ilustracjami ukazane jest w nawiasie ( dotyczy wszystkich
ilustracji);
- Ilustracje 4.17 I 4.18 (s. 169 i 170), są mało czytelne i nie dokładnie
wyjaśnione dla czytelnika.
5
Wymienione uwagi nie obniżają, w zasadniczym stopniu, wartości
poznawczej, naukowej i empirycznych wyników ocenianej pracy doktorskiej.
7. Uwagi końcowe- rekomendacja
Recenzowana rozprawa doktorska zawiera wyraźnie dostrzegalny dorobek
praktyczny doktoranta i wkład do praktyki implementacji koncepcji zarządzania
bezpieczeństwem organizacji gospodarczej. Rozprawę czyta się z dużym
zainteresowaniem a wywody Autora są przekonywujące. Wskazane wywody
wynikają zarówno z głęboko rozwiniętej analizy krytycznej literatury, z wnikliwych
badań empirycznych oraz własnych spostrzeżeniach badawczych.
Pozwala to na stwierdzenie, że postawione w pracy cele ( por. s. 6-12), zostały
osiągnięte, zaś hipotezy badawcze ( por. s. 29) pozytywnie zweryfikowane.
Doktorant przez to w pełni udowodnił, że:
1. Posiadł wiedzę interdyscyplinarną i wystarczającą znajomość badanych
problemów naukowych, a także umiejętności samodzielnego prowadzenia
badań naukowych;
2. Poprawnie i adekwatnie do konkretnych problemów formułuje i weryfikuje
tezy badawcze;
3. Samodzielnie podejmuje i poprawnie rozwiązuje problemy aktualne i
istotne dla teorii i praktyki sterowania składnikami bezpieczeństwa
organizacji gospodarczej.
Wymienione stwierdzenia pozwalają ocenić rozprawę mgr Zdzisława
Długosza, jako pozycję wzbogacającą narzędzia poznania naukowego w
zarządzaniu bezpieczeństwem.
W świetle przedstawionej oceny stwierdzam, że recenzowana rozprawa doktorska
mgr Zdzisława Długosza, pt: „Zarządzanie bezpieczeństwem systemu ochrony
informacji stanowiących tajemnice przedsiębiorstwa posiadającego infrastrukturę
krytyczną", spełnia wymagania stawiane rozprawom doktorskim i wnoszę o
dopuszczenie jej do publicznej obrony.
Stanisław Piocha
KIE
RJDWNIK
Z A K t A Q#r E K 0*N O M 11
Hrhob.
Stnriihiw Piocha
6