Reorganized some notes

marketing/publications/Scratch file/The goal should not be the certificate..md

@@ -0,0 +1,10 @@
+So when starting with an ISO implementation, the goal should not be having the certificate. It should be realizing the follwoing advantages:
+
+Now, when looking at the implementation of an ISMS, besides having the certificates, there are a couple of advantages on implementing an ISO 27001:
+
+- Firstly, it will of course help you to protect your data. That's the basis, that's the reason why you do it. So you will have **robust data protection**, so you will have enhanced security measures. That protects sensitive data from unauthorized access, from breaches, from leaks. And you will also be able to assure that you have the confidentiality integrity and availability of your data ensured. 
+- It will help you to **assure compliance**. First of all, as security practices are aligned with laws and regulations, because that's a standard element in the ISO standard, and you will also adhere to data protection laws. 
+- You will be able to make a **step up in risk management**. You will be able to identify and evaluate information security risks, and that will enable the organization to really prioritize and also proactively address potential threats. You will be able to implement security controls and incident response plans, and that will also minimize, of course, the impact. of potential security incidents.
+- You will be able to **improve your security posture**. You will be able to better manage your information security threats, and you will be implementing, of course, a standard that is internationally recognized, with internationally recognized information security controls. 
+- And you will be able to **prevent certain security incidents from happening**, which is of course cheaper than recovering from a cyber attack. So the financial losses that would be associated with a security incident will be less, and you will have efficient resources to mitigate those risks. So you will be able to do a better resource allocation in line with the risk management that you've done. 
+ 

marketing/publications/content-calendar.md

@@ -1,10 +1,10 @@
 ---
-title: "Posts Dashboard"
+title: Content Calendar
 notetype: other
 tags: []
 ---
 
-# Posts Dashboard
+# Content Calendar
 
 ```dataviewjs
 // ─── CONFIG ──────────────────────────────────────────────────────────────────

marketing/publications/posts/promoting-9-steps.md

@@ -0,0 +1,102 @@
+---
+title: "Promotie: In 9 stappen naar ISO 27001-certificering"
+language: nl
+
+proposition: iso27diy
+
+audience:
+  - leadership
+
+channels:
+  - linkedin
+  - newsletter
+linkedin-account: personal
+
+content-type:
+  - post
+
+status: draft
+
+source-notes:
+  - "[[iso27DIY-mkII/Website/Content/blog/9-stappen-naar-ISO-27001-certificering.md]]"
+
+notetype: publication
+isotags:
+  - C.6.1.2
+  - C.6.1.3
+tags: []
+---
+
+# Promotie: "In 9 stappen naar ISO 27001-certificering"
+
+## Blogpost
+**Bestand:** `iso27DIY-mkII/Website/Content/blog/9-stappen-naar-ISO-27001-certificering.md`  
+**Kernargument:** De meeste organisaties beginnen bij de maatregelen — dat is de verkeerde volgorde. Het fundament is risicomanagement, en dat begint bij organisatiedoelen.
+
+---
+
+## Titeldiscussie
+
+De originele titel ("In 9 stappen naar ISO 27001-certificering") is te generiek. De echte haak zit in de invalshoek: de volgorde is wat de meeste mensen fout doen.
+
+**Betere alternatieven:**
+- **ISO 27001: begin niet bij de maatregelen** ← sterkste optie
+- **Waarom je ISO 27001 niet begint bij Bijlage A** ← goed voor de doelgroep
+- De verkeerde volgorde is waarom ISO 27001-trajecten mislukken
+- ISO 27001 in de juiste volgorde: 9 stappen
+
+---
+
+## Promotiemateriaal per kanaal
+
+### LinkedIn — lang
+> De meeste organisaties beginnen met de maatregelen. Verkeerde volgorde.
+>
+> Zonder fundament zak je voor de audit — ongeacht hoeveel je hebt geïmplementeerd.
+>
+> Het fundament is risicomanagement. En risicomanagement begint bij je doelen als organisatie. Wat wil je bereiken? Pas dan weet je welke risico's er toe doen.
+>
+> Ik heb de 9 stappen naar ISO 27001-certificering uitgeschreven — in de juiste volgorde, inclusief de logica erachter.
+>
+> Geen rocket science. Wel discipline.
+>
+> 👉 [link naar blogpost]
+
+*Gebruik: persoonlijk profiel, thought leadership toon.*
+
+---
+
+### LinkedIn — kort
+> ISO 27001 beginnen bij de maatregelen? Klassieke fout.
+>
+> De juiste volgorde: doelen → context → risico's → maatregelen.
+>
+> In 9 stappen uitgelegd — inclusief wat de auditor wil zien.
+>
+> 👉 [link]
+
+*Gebruik: company page of als kortere variant.*
+
+---
+
+### X / Twitter
+> Meeste bedrijven beginnen ISO 27001 bij de maatregelen. Auditor is niet blij.
+>
+> De juiste volgorde begint bij je doelen als organisatie.
+>
+> 9 stappen, uitgelegd: [link]
+
+---
+
+### Nieuwsbrief (teaser)
+> ISO 27001-certificering mislukt zelden door slechte maatregelen — het mislukt door de verkeerde volgorde. Wie begint bij Bijlage A, bouwt op drijfzand. Ik heb de 9 stappen uitgeschreven zoals ze logisch op elkaar volgen, met uitleg waarom elke stap doet wat hij doet. Lees het hier: [link]
+
+---
+
+### WhatsApp / Slack
+> Nieuwe blogpost: In 9 stappen naar ISO 27001-certificering — in de juiste volgorde. Niet beginnen bij de maatregelen dus. [link]
+
+---
+
+## UTM-parameters (ter herinnering)
+Gebruik per kanaal een eigen `utm_source` + `utm_medium`, zodat Umami de traffic per kanaal onderscheidt. Campagnenaam bijv.: `iso27001-basics-q2-2026`.

marketing/publications/website/9-stappen-naar-ISO-27001-certificering.md

@@ -0,0 +1,71 @@
+# In 9 stappen naar ISO 27001-certificering
+
+De meeste organisaties beginnen bij de maatregelen. Dat is de verkeerde volgorde — zonder fundament zak je voor de audit, ongeacht hoeveel maatregelen je hebt geïmplementeerd. Dat fundament leg je met de risicomanagement processen. Deze roadmap loodst je in de juiste volgorde door de certificering.
+## Stap 1 – Stel je doelen
+
+ISO 27001 gaat in de kern over het beheersen van risico's. Risico's zijn gebeurtenissen die het lastiger maken om je doelen te bereiken. Om te weten welke risico's je aan moet pakken, moet je eerst je doelen als organisatie bepalen. Ga je voor snelle groei of stabiliteit? Continue innovatie of efficiency? Reputatie of maximale winst? 
+
+Als je dat helder hebt kun je ook je prioriteiten voor het ISMS stellen, bijv.: de privacy van onze patienten staat op één, of: onze kernsystemen zijn altijd beschikbaar, of: bij ernstige incidenten zijn we binnen een dag weer operationeel.
+
+## Stap 2 – Breng de context in kaart 
+
+Risico's ontstaan in de context, intern en extern van de organisatie. Daarom schrijft ISO 27001 voor dat je die in kaart brengt. Welke dreigingen zijn er? Aan welke wet- en regelgeving moet je voldoen? Welke ontwikkelingen zie je bij je klanten, bij toezichthouders, binnen je personeelsbestand, in de technologie? Maak een SWOT en een Stakeholder analyse.
+
+Vertaal dit naar risico's en kansen en vertaal dit naar wat je nodig hebt m.b.t. de informatievoorziening. Deze contextanalyse is belangrijke input voor de risicoanalyse in stap 6.
+
+Documenteer de stappen die je genomen hebt om de context in kaart te brengen, en wie er bij betrokken waren. De auditor gaat er naar vragen.
+
+## Stap 3 – Bepaal de verantwoordelijkheden
+
+Voor het ISMS is het essentieel duidelijk te beschrijven wie waarvoor verantwoordelijk is, en wie de besluiten neemt. ISO 27001 noemt 3 rollen expliciet:
+- **de directie** ('top management') is eindverantwoordelijk voor het beleid en de werking van het ISMS, en dus voor de informatiebeveiliging. De uitvoering kan gedelegeerd worden, de aansprakelijkheid niet.
+- **risico-eigenaren** moeten bepalen of de risico's voldoende omlaag zijn gebracht, of dat aanvullende maatregelen nodig zijn. In de praktijk zijn dit business managers: hun doelstellingen lopen gevaar als de informatie onvoldoende beveiligd is.
+- **asset eigenaren** zijn verantwoordelijk voor passende maatregelen om 'hun' assets te beschermen. Asset owners zijn meestal IT mensen, en de uitvoering is vooral in kleinere organisaties belegd bij leveranciers.
+
+Voor de verschillende onderdelen van het ISMS moet je verder zelf bepalen wie de beslissingen neemt, wie adviseert, wie uitvoert en wie geinformeerd moet worden. Leg dit vast in een RASCI-matrix. 
+
+## Stap 4 – Start met documenteren
+
+ISO 27001 wil dat activiteiten gestructureerd, controleerbaar en herhaalbaar zijn. Daarom moet je documenteren. Dat gaat je ook helpen om te groeien van een organisatie die van incident naar incident holt, naar een organisatie met lerend vermogen die zich voortdurend verbeterd. Je documenteert vooraf – zo gaan we het doen, en achteraf – zo hebben we het gedaan en dit waren de resultaten. Geef je documentatie een versienummer en/of datum, sla het gestructureerd op, en maak duidelijk wie de verschillende soorten documentatie opstelt, controleert en aftekent. Plan ook een periodieke revisie van de documenten, om te kijken of ze nog aansluiten bij de werkelijkheid.
+
+## Stap 5 – Classificeer informatie
+
+Niet alle informatie heeft dezelfde bescherming nodig. Sommige informatie is zeer vertrouwelijk, andere juist per definitie publiek. Inventariseer de soorten informatie binnen je organisatie, en bedenk in hoeverre beschikbaarheid, vertrouwelijkheid en integriteit voor die verschillende soorten belangrijk is. Geef dit aan met Hoog, Midden, of Laag (bijvoorbeeld – andere indelingen mogen ook).
+Dit hangt samen met hoeveel risico je als organisatie wil, of kan, dragen.
+
+Beschrijf ook waar de informatie 'leeft': op welke servers of bij welke leveranciers staat het, in welke software zit het, en waar wordt het gebruikt. Dit is een indicatie voor waar maatregelen moeten worden genomen.
+
+## Stap 6 – Analyseer de risico's
+
+Met de context-analyse uit stap 2 kunnen we de risico's nu verder in kaart brengen. Dit kun je doen door te kijken naar 4 aspecten:
+1. dreiging – wat kan er misgaan?
+2. kwetsbaarheid – hoe zijn we daar gevoelig voor?
+3. impact – wat zijn de gevolgen?
+4. waarschijnlijkheid – hoe groot is de kans?
+
+Door impact en waarschijnlijkheid te kwalificeren – bijv. met 1, 2 of 3 – kun je een risicoscore berekenen: R = I x W. Dat helpt je om prioriteiten te bepalen.
+
+Ieder risico krijgt een risico-eigenaar. Hij/zij moet in stap 7 het risicobehandelplan goedkeuren, en mag na uitvoering bepalen of het risico voldoende omlaag is gebracht. Het is verstandig om vooraf vast te stellen welke risicoscore acceptabel is. Ook hier speelt mee hoeveel risico de organisatie kan of wil dragen.
+
+## Stap 7 – Beschrijf de maatregelen en plan de implementatie
+
+Nu komen we bij de gevreesde 93 maatregelen uit Bijlage A. Het goede nieuws is dat je waarschijnlijk een flink aantal van de maatregelen al toepast, intern of via een leverancier. Je kunt beginnen deze maatregelen te inventariseren, en zo te documenteren dat ze passen in het framework van ISO 27001. Belangrijk is dat je de maatregelen relateert aan specifieke risico's (uit stap 6), en het toepassingsgebied van een maatregel koppelt aan de informatieclassificatie (stap 5).
+
+Voor de maatregelen die overblijven zul je een zinvolle plek moeten vinden om ze toe te passen, of moeten beargumenteren waarom juist jij ze niet nodig hebt. Dit leg je vast in je 'Statement of Applicability'. Je hoeft niet alle toepasselijke maatregelen volledig geimplementeerd te hebben voor certificering, mits je een duidelijk onderbouwd plan hebt voor de implementatie (zie stap 8), in overeenstemming met je prioriteitenstelling uit stap 6 (de Risicoanalyse).
+
+## Stap 8 – Implementeer de maatregelen
+
+Stel per maatregel beleid op dat beschrijft hoe de maatregel wordt uitgevoerd. Wie is verantwoordelijk? Hoe vaak wordt de maatregel uitgevoerd of gecontroleerd? Wat zijn de criteria voor succes? Documenteer ook de uitvoering zelf — een auditor wil niet alleen het beleid zien, maar ook het bewijs dat het beleid wordt nageleefd (zie ook stap 4).
+
+In de praktijk worden systemen en diensten vaak door derden geleverd, zeker in het MKB, en tegenwoordig bijna volledig 'in de cloud'. Aan deze leveranciers moeten eisen gesteld worden qua prestaties en beveiliging, en vastgelegd worden in overeenkomsten. Hierbij geldt de vuistregel: de eisen die je aan je eigen organisatie stelt, moet je ook aan je leveranciers stellen. Deze afspraken moet je meetbaar maken, zodat je de naleving kunt controleren. Ook dit leg je vast als beleid.
+
+## Stap 9 – Borg het ISMS in de organisatie
+
+Om te zorgen voor voortdurende verbetering – een eis van ISO 27001 – zul je een feedback loop moeten organiseren. Dat wil zeggen dat je de effectiviteit van de ISMS processen en maatregelen meet, en periodiek kijkt waar verbeteringen nodig of wenselijk zijn.
+
+Er zijn in ieder geval twee concrete momenten waarop een evaluatie plaats moet vinden, volgens ISO 27001. Periodiek, ten minste jaarlijks, is er een zgn. directiebeoordeling ('management review'), waarin het topmanagement de werking van het ISMS beoordeelt en aanwijzingen geeft voor verbetering. Daarnaast moeten op geplande momenten interne audits uitgevoerd worden.
+
+Maar wil je dat het ISMS ècht wat voor je organisatie doet – namelijk een solide organisatie van de informatiebeveiliging – dan moet je het integreren met de management cyclus. Dat doe je door de risico-eigenaren (business managers, zie stap 3) daadwerkelijk verantwoordelijk te maken voor het risiconiveau binnen hun management scope.
+## Tot Slot
+
+Deze road map gaat met zevenmijlslaarzen door de implementatie van ISO 27001 heen – dat is de functie ervan. Het is geen 'rocket science', en ook geen zinloze formulierenwinkel. ISO 27001 vergt tijd en aandacht, maar je krijgt er veiligheid, beheersbaarheid, schaalbaarheid en adaptabiliteit voor terug. Meer ondersteuning nodig? Kijk op [iso27diy.com](https://www.iso27diy.com).

marketing/publications/website/9-steps-alternatieve-titel.md

@@ -0,0 +1,12 @@
+"In 9 stappen naar ISO 27001-certificering" is functioneel maar saai. "In X stappen naar Y" is een van de meest gebruikte blogpost-formules op internet. Hij belooft structuur, maar zegt niets over wat de lezer er anders aan vindt dan de duizend andere lijstjes over ISO 27001.
+
+Je blogpost heeft wél een scherpe invalshoek: **de volgorde is wat de meeste mensen fout doen**. Dat staat nu alleen in de eerste zin van de post, niet in de titel.
+
+Alternatieven die dichter bij je werkelijke argument zitten:
+
+- **ISO 27001: begin niet bij de maatregelen** — direct, tegendraads, triggert herkenning
+- **De verkeerde volgorde is waarom ISO 27001-trajecten mislukken** — iets langer maar concreet
+- **ISO 27001 in de juiste volgorde: 9 stappen** — zwakker dan de eerste twee, maar al beter dan het origineel
+- **Waarom je ISO 27001 niet begint bij Bijlage A** — werkt goed voor mensen die al weten wat Bijlage A is (jouw doelgroep waarschijnlijk wel)
+
+De eerste of de laatste zou ik serieus overwegen. Ze sluiten ook beter aan op de LinkedIn-posts die ik schreef, waar die haak het sterkste element is.

marketing/publications/website/9-steps-to-ISO-27001-Certification.md

@@ -0,0 +1,76 @@
+# ISO 27001 Certification in 9 Steps
+
+Most organisations start with the controls — which is the wrong way. Without a solid foundation, you will fail the audit, no matter how many controls you have implemented. You build that foundation through your risk management processes. Controls come after. This roadmap takes you through the certification in the right order.
+
+## Step 1 – Define your objectives
+
+ISO 27001 is fundamentally about managing risk. Risks are events that make it harder to achieve your objectives. To know which risks to address, you first need to know what your organisation is trying to achieve. Are you pursuing rapid growth or stability? Continuous innovation or operational efficiency? Reputation or maximum profit?
+
+Once that is clear, you can set your priorities for the ISMS — for example: the privacy of our patients comes first; or: our core systems must always be available; or: in the event of a serious incident, we are back up and running within a day.
+
+## Step 2 – Map the context
+
+Risks arise from context — both internal and external. That is why ISO 27001 requires you to map it. What threats exist? Which laws and regulations apply? What developments do you see among your customers, regulators, your workforce, or in technology? Conduct a SWOT analysis and a stakeholder analysis.
+
+Translate this into risks and opportunities, and then into what you need in terms of information management. This context analysis is critical input for the risk assessment in step 6.
+
+Document the steps you took to map the context, and who was involved. The auditor will ask.
+
+## Step 3 – Assign responsibilities
+
+A functioning ISMS requires clarity about who is responsible for what, and who makes which decisions. ISO 27001 explicitly names three roles:
+
+- **Top management** is ultimately responsible for the policy and operation of the ISMS, and therefore for information security. Execution can be delegated — liability cannot.
+- **Risk owners** determine whether risks have been reduced sufficiently, or whether additional controls are needed. In practice, these are business managers: their objectives are at stake when information is inadequately protected.
+- **Asset owners** are responsible for appropriate controls to protect their assets. Asset ownership often sits with the IT function, and in smaller organisations execution is often handled by third-party suppliers.
+
+For the various components of the ISMS, you will need to determine who decides, who advises, who executes, and who is kept informed. Capture this in a RASCI matrix.
+
+## Step 4 – Start documenting
+
+ISO 27001 requires activities to be structured, verifiable, and repeatable. That means documenting. It will also help you grow from an organisation that stumbles from incident to incident, to one with the capacity to learn and continuously improve. You document upfront — this is how we will do it — and afterwards — this is what we did, and these were the results. Version and date your documentation, store it in a structured way, and make clear who drafts, reviews, and signs off each type of document. Schedule periodic reviews to check whether documents still reflect reality.
+
+## Step 5 – Classify your information
+
+Not all information needs the same level of protection. Some information is highly confidential; other information is public by definition. Inventory the types of information within your organisation and consider how important availability, confidentiality, and integrity are for each type. Indicate this with High, Medium, or Low — or a classification scheme of your own choosing.
+
+This is connected to how much risk your organisation is willing, or able, to carry.
+
+Also describe where the information lives: which servers or suppliers hold it, which software contains it, and where it is used. This indicates where controls need to be applied.
+
+## Step 6 – Assess the risks
+
+With the context analysis from step 2, you can now map the risks in detail. Look at four dimensions:
+
+1. **Threat** — what could go wrong?
+2. **Vulnerability** — how exposed are we?
+3. **Impact** — what are the consequences?
+4. **Probability** — what is the likelihood?
+
+By scoring probability and impact  — for example, 1, 2, or 3 — you can calculate a risk score: R = P x I. This helps you set priorities.
+
+Each risk gets a risk owner. They will need to approve the risk treatment plan in step 7, and after implementation, they determine whether the risk has been reduced sufficiently. It is advisable to agree in advance what risk score is acceptable. Here too, the organisation's risk appetite is a factor.
+
+## Step 7 – Define controls and plan implementation
+
+Now we arrive at the infamous 93 controls of Annex A. The good news is that you are probably already applying a significant number of them — internally or through a supplier. Start by inventorying those controls and documenting them in a way that fits the ISO 27001 framework. What matters is that you link each control to specific risks from step 6, and tie its scope to the information classification from step 5.
+
+For the remaining controls, you will need to find a meaningful place to apply them — or argue why they do not apply to your organisation. This is captured in your Statement of Applicability. You do not need to have all applicable controls fully implemented before certification, provided you have a clearly substantiated implementation plan (see step 8), aligned with your priorities from the risk assessment in step 6.
+
+## Step 8 – Implement the controls
+
+For each control, draft a policy that describes how it is carried out. Who is responsible? How often is the control executed or reviewed? What are the success criteria? Document the execution itself as well — an auditor wants to see not only the policy, but evidence that the policy is being followed (see also step 4).
+
+In practice, systems and services are frequently provided by third parties — especially in SMEs, and today almost entirely from the cloud. You need to set requirements for these suppliers in terms of performance and security, and capture them in contracts. The rule of thumb: the standards you hold yourself to, you must also hold your suppliers to. Make these agreements measurable, so you can verify compliance. Document this as policy.
+
+## Step 9 – Embed the ISMS in the organisation
+
+To ensure continual improvement — a requirement of ISO 27001 — you need to build a feedback loop. That means measuring the effectiveness of your ISMS processes and controls, and periodically reviewing where improvement is needed or desirable.
+
+ISO 27001 prescribes at least two formal evaluation moments. Top management must conduct a management review at least once a year, assessing the performance of the ISMS and providing direction for improvement. In addition, internal audits must be carried out at planned intervals.
+
+If you want the ISMS to really deliver — a solid, well-organised approach to information security — you need to integrate it with your management cycle. Do that by making the risk owners (business managers, see step 3) accountable for the risk level within their area of responsibility.
+
+## In Closing
+
+This roadmap moves through the ISO 27001 implementation at pace — that is its function. It is not rocket science, and it is not a pointless paperwork exercise. ISO 27001 requires time and attention, but in return you get security, manageability, scalability, and adaptability. Need more support? Visit [iso27diy.com](https://www.iso27diy.com).

marketing/publications/website/homepage-content.md

@@ -0,0 +1,83 @@
+# HOMEPAGE – Get ready for ISO 27001 certification.
+**No consulting required.**
+
+[Start Your Free Trial](homepage-content.md#) — *No credit card required*
+
+---
+
+## All you need to manage ISO 27001 compliance.
+
+### Build the ISMS That Fits Your Business
+Produce organization-specific, auditable evidence for each ISO 27001 requirement in 50+ guided micro-sessions.
+
+### Map Your Security Controls
+Connect your existing security practices to the right Annex A controls. Find the gaps and close them with the help of our comprehensive Knowledge Base.
+
+### Manage Your Documentation
+Keep your documentation audit-ready with our AuditGlue GRC tool.
+
+AuditGlue supports AI-powered policy generation, version control, and task management.
+
+### Human Support Available
+Get answers to your questions from our ISO 27001 Experts via email or chat. Schedule a video call for detailed advice or arrange a pre-certification audit with our PECB Certified Lead Auditors.
+
+---
+
+## ISO27DIY is the right choice if:
+
+### You're a Small Team Chasing Enterprise Deals
+Enterprise clients demand ISO 27001 certification. ISO27DIY helps you meet that requirement, without the enterprise budget.
+
+### You Want Guidance, Not Consultants
+ISO27DIY supports you in doing as much as possible yourself, with a complete toolkit built by experienced ISO 27001 auditors and implementers.
+
+### You Want Compliance to Actually Mean Something
+ISO27DIY helps you integrate information security with the way you work, creating a business that's genuinely more resilient — with the certificate to prove it.
+
+---
+
+## Simple, transparent pricing.
+**No consultants. No surprises.**
+
+### Implementation — €39/month
+*billed annually · €49 billed monthly*
+
+Everything you need to get certified.
+
+- ✅ Guided Implementation System
+- ✅ Knowledge Base — all clauses & controls
+- ✅ AuditGlue GRC tool
+- ➕ Additional logins at €10.99/month
+
+[Start free trial](https://iso.nekoluka.nl/login)
+
+---
+
+### Implementation + Support — €99/month ⭐ Most Popular
+*billed annually · €119 billed monthly*
+
+All of the above, plus expert support.
+
+- ✅ Everything in Implementation
+- ✅ Unlimited* email & chat support
+- ✅ ISO 27001 experts, next business day
+
+[Start free trial](https://iso.nekoluka.nl/login)
+
+---
+
+## Add-ons
+
+### Pre-certification audit — €299 per session
+Know where you stand before the real thing.
+
+PECB Certified Lead Auditor, by video call. 3-hour sessions — a full audit typically takes 4 sessions.
+
+[Book a pre-audit →](homepage-content.md#)
+
+### Expert video call — €49 per call
+Stuck? Get 30 minutes with a certified auditor.
+
+One-on-one with a PECB Certified Lead Auditor. No fluff, just answers.
+
+[Book a call →](homepage-content.md#)

marketing/publications/website/tsw-manifesto.md

@@ -0,0 +1,38 @@
+---
+title: "The Manifesto for Information Security Management"
+description: "Every organization can build a mature security management system, creating compliance without complexity. Security management that adds actual business value by facilitating agility instead of introducing rigidity. Without hefty consulting bills."
+date: 2026-03-23
+categories: ["Company"]
+tags: ["manifesto", "philosophy"]
+draft: false
+---
+
+Through working with our clients we have come to value:
+
+* Business over security
+* Purpose over policy
+* Iteration over perfection
+* Risk-based decisions over checkbox compliance
+
+While there is value in the items on the right, the items on the left are what makes security last.
+
+---
+
+## Our 10 Principles for implementing an effective ISMS
+
+*We follow these principles:*
+
+1. Our highest priority is to enable the business to achieve its goals with effective information security.
+2. Adaptability is the foundation of good security.
+3. Accountability for security rests with business management.
+4. Every employee, at every level, carries an active responsibility for security within their own work scope. Leadership creates the conditions for this to happen.
+5. Security professionals and business stakeholders meet regularly, face to face, to discuss risks and measures in the context of real work.
+6. An exception properly handled is better than a rule blindly followed. Deviations are mostly a sign of bad policies, not of bad people.
+7. Abstract risks breed diffuse responsibilities. A risk that belongs to everyone is a risk that belongs to no one.
+8. Risk arises where work is done. Those doing the work are best placed to identify it.
+9. Maturity requires reflection. Regularly examine what is working, what is not, and why. Adjust accordingly.
+10. Do the right thing!
+
+By following these principles, any organisation can build information security management that enables the business, adapts to change, and is carried by everyone in it.
+
+© 2026 Thinking Security Works