richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

Initial commit

Browse source
This commit is contained in:
Richard Kranendonk 2026-04-19 15:29:42 +02:00
commit 570d74d4dd
67 changed files with 4609 additions and 0 deletions
Download patch file Download diff file Expand all files Collapse all files

BIN
marketing/.DS_Store vendored Normal file
View file

Binary file not shown.

23
marketing/Channels.md Normal file
View file

@ -0,0 +1,23 @@
# Marketing Channels
## Devs
https://www.producthunt.com/@richardk3000/
https://indieapps.space/about
https://www.indiehackers.com/
https://news.ycombinator.com
https://www.reddit.com/r/startups/s/YgLLCUwCYA
https://www.reddit.com/r/ycombinator/s/LScdyyPYCm
## MSPs
[Fortmesa](https://mail.fortmesa.com/meetings/lgarciarizo/webinar-pre-call?utm_campaign=Activation+Marketplace+Success&utm_medium=email&_hsenc=p2ANqtz-9twPh0MxTZ9c55kreLj_tPiN7VdUDG0C4l0DEbicx2sKqIYc-HlgZ1myRX3ridWtZkfngU3PkrYK1lO9yp06Bo3VPIk_0WWrkYmTbI7FLkOYc6X_o&_hsmi=327323725&utm_content=327323725&utm_source=hs_automation&uuid=6dd12501-109c-4e63-ab8c-2533b5c4075b)
## SMEs
[NCSC Community](https://digitaltrustcommunity.nl)
## Auditors
ISACA
NOREA

65
marketing/automation/UTM coding scheme.md Normal file
View file

@ -0,0 +1,65 @@
# UTM coding scheme
*overzicht xlsx onderaan deze note*
Alle waarden: **lowercase**, **koppeltekens** als scheidingsteken, geen spaties.
## utm_source — kanaal
| Waarde | Kanaal |
| -------------- | ------------------ |
| `linkedin` | LinkedIn |
| `reddit` | Reddit |
| `newsletter` | E-mail nieuwsbrief |
| `devto` | Dev.to |
| `hashnode` | Hashnode |
| `producthunt` | Product Hunt |
| `indiehackers` | Indie Hackers |
## utm_medium — type uiting
| Waarde | Type |
|--------|------|
| `article` | Lang artikel of post |
| `post` | Korte post of update |
| `comment` | Comment of reactie |
| `bio` | Profiel- of biolink |
| `ad` | Betaalde advertentie |
## utm_campaign — thema + kwartaal
| Waarde | Omschrijving |
|--------|-------------|
| `iso27001-basics-q2-2026` | ISO 27001 basics — Q2 2026 |
| `smb-compliance-q2-2026` | MKB compliance — Q2 2026 |
| `tool-launch-q2-2026` | Tool/template lancering — Q2 2026 |
| `evergreen` | Altijd-actieve links (bio, profiel) |
## utm_content — specifieke CTA
| Waarde | CTA |
|--------|-----|
| `cta-signup` | Primaire CTA — aanmelden / gratis proberen |
| `cta-download` | Tool of template downloaden |
| `cta-read` | Artikel lezen |
| `cta-home` | Homepage link |
| `cta-inpost` | Link in de post zelf |
| `cta-comment` | Link in een comment |
## VoorbeeldURLs
```
# LinkedIn bio (evergreen)
https://iso27diy.com/?utm_source=linkedin&utm_medium=bio&utm_campaign=evergreen&utm_content=cta-home
# LinkedIn artikel — signup CTA
https://iso27diy.com/signup?utm_source=linkedin&utm_medium=article&utm_campaign=iso27001-basics-q2-2026&utm_content=cta-signup
# Reddit comment
https://iso27diy.com/?utm_source=reddit&utm_medium=comment&utm_campaign=smb-compliance-q2-2026&utm_content=cta-comment
# Newsletter — tool download
https://iso27diy.com/tools?utm_source=newsletter&utm_medium=article&utm_campaign=tool-launch-q2-2026&utm_content=cta-download
```
## UTM overzicht
![[utm-tracker.xlsx]]

21
marketing/automation/UTM-tracking.md Normal file
View file

@ -0,0 +1,21 @@
## UTM-parameters
UTM = Urchin Tracking Module, vernoemd naar een webanalytics bedrijf dat Google in 2005 opkocht.
### Hoe het werkt
Je plakt parameters achter elke link, bijvoorbeeld:
```
https://jouwsite.nl/pagina?utm_source=linkedin&utm_medium=post&utm_campaign=launch&utm_content=cta-button
```
De standaard parameters:
- `utm_source` — waar komt het vandaan? (linkedin, reddit, hackernews)
- `utm_medium` — wat voor type uiting? (post, bio, comment, newsletter)
- `utm_campaign` — welke campagne/periode? (launch-v1, april2025)
- `utm_content` — welke specifieke CTA of variant? (cta-hero, cta-footer, cta-gratis-demo)
- `utm_term` — oorspronkelijk gebruikt voor betaalde zoekopdrachten om bij te houden op welk zoekwoord iemand klikte
Daarbuiten kun je in principe eigen parameters verzinnen — sommige tools ondersteunen dat, Umami werkt alleen met de vijf standaard parameters.

16
marketing/branding/ISO27DIY Website color scheme.md Normal file
View file

@ -0,0 +1,16 @@
![](CleanShot%202026-03-16%20at%2012.34.46.png)
![](CleanShot%202026-03-16%20at%2012.35.11.png)
| **Grid type** | $grid-size | $bg-size | $grid-opacity | **Gradient** |
|:-:|:-:|:-:|:-:|:-:|
| Dot grid (Moleskine) | 1px | 20px 20px | 0.06 | 1× radial |
| Fine dot grid | 1px | 5px 5px | 0.04 | 1× radial |
| Engineering paper | 1px | 4px 4px | 0.05 | 2× linear |
| Graph paper (fine) | 1px | 10px 10px | 0.06 | 2× linear |
| Graph paper (standard) | 1px | 20px 20px | 0.08 | 2× linear |
| Architectural (open) | 1px | 40px 40px | 0.12 | 2× linear |
| Engineering (major+minor) | 1px | 4px 4px + 20px 20px | 0.04 + 0.10 | 4× linear |
The last row needs four gradients — two for the minor grid at low opacity, two for the major grid at higher opacity, all stacked in one background-image declaration.

37
marketing/campaigns/Brand Values.md Normal file
View file

@ -0,0 +1,37 @@
# iso27DIY Brand values
Primary:
* **A**uthenticity
* **C**larity
* **E**mpowerment
Secondary:
* Value Creation
* Organizational Alignment
* Context-Driven Intelligence
* Practicality Over Bureaucracy
* Inclusivity
## Based on: Our thoughts and beliefs on current practices
I created iso27DIY because I think / believe …
- The core principles of the ISO 27001 are often overlooked in implementations and audits. These are that, when implementing the ISO 27001s ISMS and Controls, informed decisions should be made based on risks, context, and the means and capabilities of the organization.
- Furthermore, the ISMS must be implemented in such a way that it is helpful in realizing organizational goals, mitigates risks the organizations faces in achieving these, and promote seizing opportunities, especially with regard to information security.
- Current implementation approaches take the letter of the standard instead of the spirit, and force the business into adapting overly complex procedures and building an artificial paper reality.
- ISO 27001 is a Framework, not a prescriptive checklist.
- Checklist-based approaches are not effective, because they lack internal cohesion, connection to organizationals goals, risk- and context awareness. They do not implement security in a way that contributes to an organizations mission and negate the organizations capabilities for making intelligent choices based on context, risk and proportionality.
- This makes ISO 27001 impopular with management and workfloor, causing it to become ineffective.
- The language and structure of the ISO 27001 standard is hard to comprehend because of the formalistic language, internal cross references, and duplications of elements at different levels. This creates a certain mystique that forces organizations to hire a priest (i.e. consultant) to help them understand what to do.
- SMEs think they lack adequate time, trained personnel, and budget to manage the implementation process effectively
## The ISO27DIY way
- iso27DIY tells the story of ISO 27001 and 27002 in such a way, that you will understand the essence of the standard, and are able to make informed and compliant choices based on context, risk and proportionality.
- iso27DIY helps you identify security practices already in place in your organization, and enhance, translate and document them in such a way that comliance requirements are met. (control mapping)
- iso27DIY lets you implement the ISMS and controls in such a way that they actually improve the organizations security posture, create value at all levels of the organization, and create a culture of security.
- iso27DIY does not force you to adopt contra-productive security procedures and maintain unnecessary documentation.
- We believe in your capability to do it yourself!

47
marketing/campaigns/FUD with Certification.md Normal file
View file

@ -0,0 +1,47 @@
# Fears, Uncertainties, and Doubts with ISO 27001 certification
People who need to implement ISO 27001 within their organization, often worry about the following:
* Am I doing it right
* Did I interpret this article correctly
* Havent I forgotten anything
* Are we doing enough
* How long will this take
* How will I get people to cooperate
* This will bring a mound of unnecessary paperwork
* We will need to implement unworkable procedures
* This will take all flexibility out of our way of working
* We will become robots
* We will need to implement all kind of expensive measures
## Themes
The challenges they face an be grouped in several themes, as described below.
**Lack of leadership / top management support**
- leadership doesn't fully understand the value of ISO 27001, sees it as a bureaucratic burden instead of a strategic priority
- not a priority for middle management because of leadership stance
- lack of resource allocation (time, money and people) due to lack of leadership
**Business alignment**
- overly long and confusing policies that are difficult for employees to understand and auditors to navigate
- Risk of ISMS becoming isolated from real business processes, especially when internal responsibility lies with people lacking authority or visibility into all business areas.
* integration of management processes, process documentation, and continuous evaluation
**Acceptance / buy in at operational level:**
- (cultural) resistance from employees, beccause ISO 27001 implementation often introduces new policies and processes that can be perceived as burdensome or unnecessary
- this is aggravated if staff don't understand the benefits and/or aren't properly trained
- this is aggravated if the ISMS is implemented as, or perceived as, an artificial system for certification rather than an integrated part of the company's culture and operations
**Documentation /policy tuning:**
- how to create and maintaining policies and procedures that are both comprehensive enough to satisfy auditors and practical enough for employees to follow.
- Over-engineering of a one-size-fits-all approach from templates, leading to massive, unwieldy documents, instead of tailoring the documentation to the specific needs and size of the organization
- finding the balance between being thorough and being concise how much detail or separation is appropriate for policies, procedures, and supporting documentation
**On Risks:**
- How do we properly identify, analyze, and prioritize all relevant risks.
- Fear of missing a critical risk or not prioritizing them correctly.
**Passing the audit:**
- When is a control implemented "enough" to pass an audit and a fear of misinterpreting the auditor's expectations. This often stems from the fact that ISO 27001 is a framework, not a prescriptive checklist.
- Lack of structured and impartial internal audit processes

31
marketing/campaigns/ISO27DIY Solution and Components.md Normal file
View file

@ -0,0 +1,31 @@
# ISO27DIY: Solution and Components
We are developing a solution for SMEs that will guide them through the ISO 27001 implementation, and prepare for a successful certification audit, without needing to hire expensive consultants. The solution is called ISO27DIY.
These are the **components** of the solution:
- **ISO27DYI Guided Implementation System**: A series of 50+ micro sessions take you through the steps to successfully implement ISO 27001, creating all required documentation as you go. Use our AI assistent to generate tailor made information security policies.
- **GRC Tooling**: Our easy to use AuditGlue system lets you manage all artifacts produced with the Guided Implementation. Plus tooling for stuff like risk analyses, data classification and asset inventarization.
- **Controls Library**: Practical examples for your type of organization, for all 94 controls of Annex A, actionable and in Plain English.
- **Expert Support**: Get online with one of our experienced ISO 27001 implementation consultants to help you find a solution for any challenges you might face.
- **Preliminary audits**: Plan one or more sessions with certified ISO 27001 auditors to prepare you for your certification.
These are the **design principles** for the solution:
- The customer is typically an SME, with no dedicated compliance officer and little knowledge of information security management and the ISO 27001 standard.
- The user of the solution is the person made responsible for implementing the ISO 27001 standard within the SME. He or she is typically employed as the Tech person or the COO.
- iso27DIY guides the client in what to identify, assess and produce, how to do it, and in what order
- iso27DYI's guidance will feel like a smartwatch fitness coach, rather than having the user walking down checklists
- iso27DIY provides best practice examples and generates compliant content based on the user's input
- iso27DYI will help the client with building the necessary capabilities to maintain the ISMS within his own organization
## Components in a table
| Guided Implementation | **Controls Library** | GRC Tooling |
| ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ------------------------------------------------------------------------------------------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| A series of 50+ micro sessions take you through the steps to succesfully implement ISO 27001, creating all required documentation as you go. Use our AI assistent to generate tailor made information security policies. | Practical examples for your type of organization, for all 94 controls of Annex A, actionable and in Plain English. | Our easy to use AuditGlue system lets you manage all artifacts produced with the Guided Implementation. Plus tooling for stuff like risk analyses, data classification and asset inventarization. |
| **Expert Support** | **Preliminary audits** |
| ------------------------------------------------------------------------------------------------------------------------------------------ | -------------------------------------------------------------------------------------------------- |
| Get online with one of our experienced ISO 27001 implementation consultants to help you find a solution for any challenges you might face. | Plan one or more sessions with certified ISO 27001 auditors to prepare you for your certification. |

46
marketing/campaigns/ISO27DIY communication style.md Normal file
View file

@ -0,0 +1,46 @@
# Communication Style Guide
## Voice and tone
Direct, confident, and plain-spoken. No corporate jargon. No filler. Every word earns its place. The tone is authoritative without being academic, and human without being casual.
## Sentence structure
Short sentences are preferred. Long sentences are broken up. Parallelism is used deliberately — three-part structures work well when each part carries equal weight. Fragments are acceptable when they land a point cleanly.
## Word choices
- Prefer concrete over abstract
- Prefer active over passive
- Prefer simple over sophisticated
- "Effective" over "impactful"
- "Enables" over "empowers"
- "Adapt" and "adaptive" over "dynamic" or "agile"
- Avoid: "leverage", "synergy", "holistic", "seamless", "robust"
## What to avoid
- Negative framing — state what good looks like, not what bad looks like
- Accusatory or confrontational language — invite people to something better rather than criticising what they do now
- Over-explanation — trust the reader
- Hedging — commit to the statement
- Bullet points where prose works better
## Manifesto-style writing specifically
- Value statements follow the "X over Y" format — both sides should name real things people recognise
- The right-hand side is not villainised — it has value, it just comes second
- Principles are short, declarative, and standalone — each one a truth that can be read in isolation
- Forward-leaning and positive — declare what good looks like
- Aphoristic where possible — aim for sentences that could be quoted
## The reader
The audience is entrepreneurs and business managers implementing ISO 27001 themselves. They are intelligent, pragmatic, and time-poor. They are put off by complexity and consultant-speak. They respond to clarity, honesty, and respect for their intelligence.
## Editing instincts
- If two sentences say the same thing, cut one
- If a word is ambiguous, replace it
- If a sentence trails off, find a stronger closing beat
- If something sounds like it came from a brochure, rewrite it

20
marketing/campaigns/Personal Writing Style.md Normal file
View file

@ -0,0 +1,20 @@
## Writing Style — Richard / ISO27DIY
**Tone** Direct and businesslike, without being cold. You write as someone who has done it themselves and takes the reader seriously. No inflated consultant-speak, no unnecessary politeness buffers.
**Sentence structure** A preference for short, assertive sentences. You use the long sentence to explain, the short sentence to land the point. Contrast works well for you: "You document upfront — this is how we'll do it — and afterwards — this is what we did and what it produced."
**Word choice** No jargon unless necessary, and when used, immediately explained. You use plain terms where possible, but don't shy away from industry-standard terminology (_top management_, _Statement of Applicability_, _risk owner_) where it's the accepted term. No woolly management language — you don't say "suboptimal"; you say "wrong order."
**Structure** Step-by-step, but never mechanical. Each step has its own logic, which you briefly explain before instructing. You explicitly connect steps to each other ("the context analysis from step 2", "the risk score from step 6") — the reader never loses the thread.
**Figurative language** Sparing but precise. You choose images and expressions that everyone understands and that address exactly the right objection or expectation — no decoration for its own sake.
**What you consistently avoid**
- Rhetorical questions as openers
- Meta-commentary ("what I'm trying to say is...")
- Repeating the headline in the introduction
- False modesty or unnecessary hedging
**Core character** Clear, honest, mildly opinionated. You are the guide who knows the route — not the consultant trying to impress.

20
marketing/campaigns/Persoonlijke Schrijfstijl.md Normal file
View file

@ -0,0 +1,20 @@
# Schrijfstijl — Richard / ISO27DIY
**Toon** Direct en zakelijk, zonder afstandelijkheid. Je schrijft als iemand die het zelf heeft gedaan en de lezer serieus neemt. Geen opgeblazen consultantentaal, geen onnodige beleefdheidsbuffers.
**Zinsstructuur** Voorkeur voor korte, assertieve zinnen. Je gebruikt de lange zin om uit te leggen, de korte zin om te landen. Contrasten werken goed voor je: "Je documenteert vooraf — zo gaan we het doen, en achteraf — zo hebben we het gedaan."
**Woordkeus** Geen jargon tenzij noodzakelijk, en dan direct uitgelegd. Je gebruikt Nederlandse termen waar het kan (_directiebeoordeling_, _risico-eigenaar_), maar schroomt niet voor Engels waar het de standaardterm is (_top management_, _Statement of Applicability_). Geen wollige managementtaal — "niet effectief" vervang je door "verkeerde volgorde".
**Structuur** Stap-voor-stap, maar niet mechanisch. Elke stap heeft een eigen logica die je kort toelicht voordat je instrueert. Je verbindt stappen expliciet aan elkaar ("de contextanalyse uit stap 2", "de risicoscore uit stap 6") — de lezer verliest nooit het overzicht.
**Beeldtaal** Spaarzaam maar raak. Zevenmijlslaarzen, rocket science, formulierenwinkel — je kiest beelden die iedereen begrijpt en die precies het juiste bezwaar of de juiste verwachting adresseren.
**Wat je consequent vermijdt**
- Retorische vragen als opener
- Meta-commentaar ("wat ik wil zeggen is...")
- Herhalingen van de kop in de inleiding
- Valse bescheidenheid of onnodige relativering
**Kernkarakter** Helder, eerlijk, licht eigenzinnig. Je bent de gids die de route kent, niet de consultant die indruk wil maken.

41
marketing/campaigns/Taglines and Payoffs.md Normal file
View file

@ -0,0 +1,41 @@
Current:
* Certification shouldn't be a barrier to competition.
- Guided ISO 27001 implementation. No consulting required.
- ISO27DIY: Get Certified Keep Growing
# Taglines
* ISO 27001. **Mastered**.
* You've got this. We'll show you how.
* ISO 27001 for All!
* Make your auditor happy
* Implementing ISO 27001 is no Rocket Science ... but the manual can be darn confusing!
* ISO 27001 used to be Rocket Science … until we rewrote the manual
- Certify Smarter
- **The Smart path to ISO 27001 certification**
- We simplify ISO 27001 compliance
- ISO 27001 made Easy
- ISO 27001: Why make it difficult?
- **We help SMEs secure ISO 27001 certification**
- We help SMEs prepare for ISO 27001 certification
- We get SMEs certification-ready
- Navigate through ISO 27001 certification ... Easily
- ISO 27001 certification with confidence
- Supporting SMEs in achieving ISO 27001 readiness
- Streamlining ISO 27001 certification prep for SMEs
## Payoff suggestions
* "Big company security, small company budgets”
* "ISO 27001 certification achievable for SMEs"
* "Enterprise security, startup agility"
* “Enterprise-level security for SMEs
* "Security standards for real businesses"
* "Compliance that fits your business"
* "No organization left behind in cybersecurity"
* "Build on what works. Fix what doesn't."
* “More security, less consulting”
* “Clarity. Not Consultancy.”
* “ISO 27001 that makes sense”
* "Security standards. Demystified."
* "Enterprise security, democratized."

123
marketing/campaigns/doelgroepen.md Normal file
View file

@ -0,0 +1,123 @@
# Doelgroepen & marktsegmenten — ISO27DIY
---
## Segment 1 — Founders & SaaS-bedrijven
**Profiel**
Technische oprichters van software- of SaaS-bedrijven. Ze hebben security serieus genomen, maar niet systematisch. Het ISMS bestaat uit losse tools en documenten, niet als samenhangend managementsysteem.
**Motief**
Enterprise-sales. Een grote klant of aanbesteding stelt ISO 27001 als harde voorwaarde. De certificering is geen overtuiging maar een dealbreaker die ze willen wegnemen — bij voorkeur snel en zonder externe consultant.
**Trigger**
"We verliezen een deal als we dit niet hebben."
**Boodschap**
Je security is waarschijnlijk beter dan je denkt. Wat ontbreekt is de aantoonbaarheid — een managementsysteem dat een auditor kan volgen. Dat is oplosbaar, ook zonder groot budget of consultant.
**Kanalen**
- LinkedIn (eigen netwerk + groepen)
- Reddit: r/SaaS, r/ISO27001, r/startups
- Hacker News
- Nieuwsbrief
---
## Segment 2 — MKB-directeuren
**Profiel**
Directeuren van kleine tot middelgrote bedrijven die zelf geen IT-achtergrond hebben. Ze zijn eindverantwoordelijk maar delegeren security aan een IT-beheerder of externe partij. ISO 27001 komt op hun radar via een klant, verzekeraar of aanbesteding.
**Motief**
Zakelijke continuïteit en klantbehoud. De certificering is een investering die ze willen begrijpen — wat kost het, wat levert het op, wat wordt er van hen verwacht?
**Trigger**
"Een opdrachtgever vraagt erom" of "onze verzekeraar stelt strengere eisen."
**Boodschap**
ISO 27001 is geen IT-project — het is een managementsysteem. De directie is er niet de uitvoerder van, maar wél de eindverantwoordelijke. Dit eBook legt uit wat dat concreet betekent, wat het kost, en hoe het proces eruitziet.
**Kanalen**
- LinkedIn
- Nieuwsbrief
- Google (SEO op "ISO 27001 MKB", "kosten ISO 27001 certificering")
---
## Segment 3 — Dienstverleners zonder online kern
**Profiel**
Organisaties die persoonsgegevens of klantdata verwerken, maar zichzelf niet als IT-bedrijf zien. Denk aan kinderopvang, installatietechnici, IoT-leveranciers, facilitaire dienstverleners. Ze worden geconfronteerd met ISO 27001 als eis van een opdrachtgever of in een aanbesteding — terwijl ze zelf nauwelijks weten wat het inhoudt.
**Motief**
Marktoegang. Ze willen aan een specifieke eis voldoen om een contract te winnen of te behouden. De drijfveer is extern, niet intern.
**Trigger**
"Onze opdrachtgever vraagt om een ISO 27001-certificaat. We weten niet waar we moeten beginnen."
**Boodschap**
ISO 27001 is niet alleen voor techbedrijven. Als je persoonsgegevens verwerkt of toegang hebt tot de systemen van je opdrachtgever, ben je al in scope. Dit eBook legt uit wat er van je wordt verwacht — en dat het minder ingewikkeld is dan het klinkt.
**Kanalen**
- Brancheverenigingen en sectormedia (kinderopvang, installatiebranche, IoT/OT)
- LinkedIn via branchegroepen
- Google (SEO op "ISO 27001 kinderopvang", "ISO 27001 leverancier opdrachtgever", "ISO 27001 niet-IT bedrijf")
---
## Segment 4 — Organisaties onder regelgevingsdruk
**Profiel**
Bedrijven die vanuit wet- en regelgeving hun informatiebeveiliging moeten aantonen — denk aan NIS-2, de Cyberbeveiligingswet (Cbw), de Cyber Resilience Act (CRA), of sectorspecifieke eisen. Ze hebben geen expliciete ISO 27001-behoefte, maar zoeken wel een aanpak die hun compliance-last structureel oplost.
**Motief**
Regelgevingsdruk en aansprakelijkheidsreductie. Ze moeten iets doen — en willen niet voor elke nieuwe wet opnieuw het wiel uitvinden.
**Trigger**
"We moeten aan NIS-2 voldoen. Hoe pakken we dat aan zonder voor elke regelgeving een apart traject op te zetten?"
**Boodschap**
ISO 27001 is geen doel op zich — het is een fundament. Een goed ingericht ISMS dekt de kern van wat NIS-2, de Cbw en de CRA van je vragen. Eén systeem, meerdere regelgevingen afgedekt. Dat is efficiënter dan losse compliance-trajecten per wet.
**Kanalen**
- LinkedIn (compliance, legal, risk management doelgroep)
- Google (SEO op "NIS-2 ISO 27001", "Cbw informatiebeveiliging", "CRA compliance basis")
- Branchemedia en vakbladen (recht, compliance, risk)
- Nieuwsbrief
---
## Segment 5 — MSP's (Managed Service Providers)
**Profiel**
IT-dienstverleners die het MKB ontzorgen op het gebied van infrastructuur, beheer en security. Ze zijn het eerste aanspreekpunt als een klant een ISO 27001-vraag krijgt — van een opdrachtgever, verzekeraar of aanbesteding. Ze hebben doorgaans zelf geen uitgewerkt ISO 27001-aanbod, maar zien de vraag wel toenemen.
**Motief**
Dienstenpakket uitbreiden en klantbehoud. Een MSP die zijn klant kan helpen met ISO 27001-voorbereiding, bindt die klant en vergroot de omzet per account. ISO27DIY is voor hen geen product dat ze zelf gebruiken, maar één dat ze aanbieden of doorverwijzen — als white label, als partnerproduct, of als referral.
**Trigger**
"Mijn klant heeft ISO 27001 nodig. Ik wil dat kunnen oplossen zonder zelf een compliance-afdeling op te bouwen."
**Boodschap**
Jouw klanten krijgen steeds vaker de vraag naar ISO 27001. Met ISO27DIY kun je die vraag beantwoorden — zonder zelf het wiel uit te vinden. Schaalbaar, gestructureerd, en inzetbaar naast je bestaande dienstverlening.
**Relatie tot andere segmenten**
MSP's zijn geen eindgebruiker maar een distributiekanaal. Via hen bereik je segmenten 2 en 3 — de MKB-directeur en de dienstverlener zonder online kern — op het moment dat de behoefte concreet is en de MSP al vertrouwen heeft opgebouwd.
**Kanalen**
- LinkedIn (IT-channel, MSP-communities)
- Vakbladen en events: Channel Connect, MSP Summit, IT-channelmedia
- Directe partnerwerving via outreach
---
## Overzicht
| Segment | Primaire trigger | Kernboodschap | Prioriteit kanalen |
|---|---|---|---|
| Founders / SaaS | Dealbreaker in enterprise-sales | Aantoonbaarheid, niet security | LinkedIn, Reddit, HN |
| MKB-directeuren | Klanteis of verzekeraar | Managementsysteem, niet IT-project | LinkedIn, Google |
| Dienstverleners zonder online kern | Opdrachtgeverseis | Ook voor niet-IT bedrijven | Branchemedia, Google |
| Regelgevingsdruk (NIS-2 / Cbw / CRA) | Wettelijke verplichting | Één fundament, meerdere wetten | LinkedIn, Google, vakbladen |
| MSP's | Klant heeft ISO 27001 nodig | Distributiepartner, niet eindgebruiker | LinkedIn, channel-events, outreach |

BIN
marketing/content/.DS_Store vendored Normal file
View file

Binary file not shown.

37
marketing/content/LinkedIn Company Page for iso27DYI.md Normal file
View file

@ -0,0 +1,37 @@
[LinkedIn Company Page](https://www.linkedin.com/company/iso27diy/about/?viewAsMember=true)
If you're an SME and need to implement ISO 27001, you don't have the budget
**Implementing ISO 27001 is no Rocket Science.**
... but the manual can be darn confusing!
Most SMEs face the same problem: ISO 27001 is becoming the price of entry for serving enterprise customers.
If you need to implement on a budget, there's no room for expensive consulting or over-complicated GRC tools.
Patching together free resources from the internet takes months you don't have, and template kits give no clue on how to adapt things to your business. And to be honest, no firm has ever become more secure by approaching ISO 27001 as a checkbox exercise.
**Enter iso27DIY**
Certification shouldn't be a barrier to competition thats why we created iso27DIY.
What it is:
**A Guided Implementation System** 50+ micro-sessions that walk you through the ISO 27001 implementation step-by-step, creating all required documentation as you go. Our AI assistant generates tailored policies, not generic templates.
**A Simple but Effective GRC Tool** Use AuditGlue to manage your documentation, conduct risk analyses, classify data, and prepare for audit in one integrated system.
**All Clauses and Controls explained** Our Controls Library includes practical, plain-English examples for all 94 Annex A controls, specific to your type of organization.
**Expert Support on hand** On-demand access to experienced ISO 27001 implementors when you need them.
**Preliminary Audits** Plan sessions with certified auditors to validate your certification readiness.
**Our approach:**
We want ISO 27001 to work for your organization. No cookie-cutter procedures or Theatre of Compliance. We help you identify what's already working in your organization, enhance it, document it properly, and integrate security into how you actually operate.
We teach you to make informed decisions based on your context, risks, and capabilities because that's what ISO 27001 is actually about.
**You've got this. We'll show you how.**
ISO27DIY: Get Certified Keep Growing

29
marketing/content/Snippets for marketing iso27DIY.md Normal file
View file

@ -0,0 +1,29 @@
Guided ISO 27001 implementation
- guided implementation with a clear path to success
- at your pace
- Tailored to your organization
- All necessary policies, planning etc tailored to your specific organization and implementation scope
- expert support by experienced lead implementors
- Full blown GRC tooling included!
Im aiming at small companies that need ISO 27001 because their B2B clients require it, and want to do as much as they can themselves.
iso27DIY will lead them through the implementation step by step, filling the GRC tool along the way.
The focus is helping them implement the ISMS _process_ and identifying the artefacts already present in the organization that can serve as proof, filling in the missing pieces with LLM.
**My goal is threefold:**
- Help you implement an ISMS that will actually benefit your organization,
- let you acquire the ISO 27001 certification,
- and use as much of the documentation, procedures, logs and other artifacts that are already part of your organization.
**We Work with what you've got**
A lot of the necessary processes and controls required in ISO 27001 are probably already in place within your organization. But you may call them by another name and dont realize it. iso27DIY will help you identify them and document them in such a way, that you fulfill the requirements without fundamentally changing what you are doing right already.
**Like Steve Jobs introduction of the iPhone**
Its a stack of templates AND a GRC program AND a consultant leading you through the process.
The online service will offer guided implementation for iso 27001. It will make it easier, cheaper, less confusing, less painful, more tailored to the client's business then other solutions or approaches. Real Humans will be available for those moments where digital just doesn't cut it.

1
marketing/content/eBook-Audit Submodule

@ -0,0 +1 @@
Subproject commit bdc238de983b78e7f33e23dab3c42dbfe8916e9e

71
marketing/content/website/blog/9-stappen-naar-ISO-27001-certificering.md Normal file
View file

@ -0,0 +1,71 @@
# In 9 stappen naar ISO 27001-certificering
De meeste organisaties beginnen bij de maatregelen. Dat is de verkeerde volgorde — zonder fundament zak je voor de audit, ongeacht hoeveel maatregelen je hebt geïmplementeerd. Dat fundament leg je met de risicomanagement processen. Deze roadmap loodst je in de juiste volgorde door de certificering.
## Stap 1 Stel je doelen
ISO 27001 gaat in de kern over het beheersen van risico's. Risico's zijn gebeurtenissen die het lastiger maken om je doelen te bereiken. Om te weten welke risico's je aan moet pakken, moet je eerst je doelen als organisatie bepalen. Ga je voor snelle groei of stabiliteit? Continue innovatie of efficiency? Reputatie of maximale winst?
Als je dat helder hebt kun je ook je prioriteiten voor het ISMS stellen, bijv.: de privacy van onze patienten staat op één, of: onze kernsystemen zijn altijd beschikbaar, of: bij ernstige incidenten zijn we binnen een dag weer operationeel.
## Stap 2 Breng de context in kaart
Risico's ontstaan in de context, intern en extern van de organisatie. Daarom schrijft ISO 27001 voor dat je die in kaart brengt. Welke dreigingen zijn er? Aan welke wet- en regelgeving moet je voldoen? Welke ontwikkelingen zie je bij je klanten, bij toezichthouders, binnen je personeelsbestand, in de technologie? Maak een SWOT en een Stakeholder analyse.
Vertaal dit naar risico's en kansen en vertaal dit naar wat je nodig hebt m.b.t. de informatievoorziening. Deze contextanalyse is belangrijke input voor de risicoanalyse in stap 6.
Documenteer de stappen die je genomen hebt om de context in kaart te brengen, en wie er bij betrokken waren. De auditor gaat er naar vragen.
## Stap 3 Bepaal de verantwoordelijkheden
Voor het ISMS is het essentieel duidelijk te beschrijven wie waarvoor verantwoordelijk is, en wie de besluiten neemt. ISO 27001 noemt 3 rollen expliciet:
- **de directie** ('top management') is eindverantwoordelijk voor het beleid en de werking van het ISMS, en dus voor de informatiebeveiliging. De uitvoering kan gedelegeerd worden, de aansprakelijkheid niet.
- **risico-eigenaren** moeten bepalen of de risico's voldoende omlaag zijn gebracht, of dat aanvullende maatregelen nodig zijn. In de praktijk zijn dit business managers: hun doelstellingen lopen gevaar als de informatie onvoldoende beveiligd is.
- **asset eigenaren** zijn verantwoordelijk voor passende maatregelen om 'hun' assets te beschermen. Asset owners zijn meestal IT mensen, en de uitvoering is vooral in kleinere organisaties belegd bij leveranciers.
Voor de verschillende onderdelen van het ISMS moet je verder zelf bepalen wie de beslissingen neemt, wie adviseert, wie uitvoert en wie geinformeerd moet worden. Leg dit vast in een RASCI-matrix.
## Stap 4 Start met documenteren
ISO 27001 wil dat activiteiten gestructureerd, controleerbaar en herhaalbaar zijn. Daarom moet je documenteren. Dat gaat je ook helpen om te groeien van een organisatie die van incident naar incident holt, naar een organisatie met lerend vermogen die zich voortdurend verbeterd. Je documenteert vooraf zo gaan we het doen, en achteraf zo hebben we het gedaan en dit waren de resultaten. Geef je documentatie een versienummer en/of datum, sla het gestructureerd op, en maak duidelijk wie de verschillende soorten documentatie opstelt, controleert en aftekent. Plan ook een periodieke revisie van de documenten, om te kijken of ze nog aansluiten bij de werkelijkheid.
## Stap 5 Classificeer informatie
Niet alle informatie heeft dezelfde bescherming nodig. Sommige informatie is zeer vertrouwelijk, andere juist per definitie publiek. Inventariseer de soorten informatie binnen je organisatie, en bedenk in hoeverre beschikbaarheid, vertrouwelijkheid en integriteit voor die verschillende soorten belangrijk is. Geef dit aan met Hoog, Midden, of Laag (bijvoorbeeld andere indelingen mogen ook).
Dit hangt samen met hoeveel risico je als organisatie wil, of kan, dragen.
Beschrijf ook waar de informatie 'leeft': op welke servers of bij welke leveranciers staat het, in welke software zit het, en waar wordt het gebruikt. Dit is een indicatie voor waar maatregelen moeten worden genomen.
## Stap 6 Analyseer de risico's
Met de context-analyse uit stap 2 kunnen we de risico's nu verder in kaart brengen. Dit kun je doen door te kijken naar 4 aspecten:
1. dreiging wat kan er misgaan?
2. kwetsbaarheid hoe zijn we daar gevoelig voor?
3. impact wat zijn de gevolgen?
4. waarschijnlijkheid hoe groot is de kans?
Door impact en waarschijnlijkheid te kwalificeren bijv. met 1, 2 of 3 kun je een risicoscore berekenen: R = I x W. Dat helpt je om prioriteiten te bepalen.
Ieder risico krijgt een risico-eigenaar. Hij/zij moet in stap 7 het risicobehandelplan goedkeuren, en mag na uitvoering bepalen of het risico voldoende omlaag is gebracht. Het is verstandig om vooraf vast te stellen welke risicoscore acceptabel is. Ook hier speelt mee hoeveel risico de organisatie kan of wil dragen.
## Stap 7 Beschrijf de maatregelen en plan de implementatie
Nu komen we bij de gevreesde 93 maatregelen uit Bijlage A. Het goede nieuws is dat je waarschijnlijk een flink aantal van de maatregelen al toepast, intern of via een leverancier. Je kunt beginnen deze maatregelen te inventariseren, en zo te documenteren dat ze passen in het framework van ISO 27001. Belangrijk is dat je de maatregelen relateert aan specifieke risico's (uit stap 6), en het toepassingsgebied van een maatregel koppelt aan de informatieclassificatie (stap 5).
Voor de maatregelen die overblijven zul je een zinvolle plek moeten vinden om ze toe te passen, of moeten beargumenteren waarom juist jij ze niet nodig hebt. Dit leg je vast in je 'Statement of Applicability'. Je hoeft niet alle toepasselijke maatregelen volledig geimplementeerd te hebben voor certificering, mits je een duidelijk onderbouwd plan hebt voor de implementatie (zie stap 8), in overeenstemming met je prioriteitenstelling uit stap 6 (de Risicoanalyse).
## Stap 8 Implementeer de maatregelen
Stel per maatregel beleid op dat beschrijft hoe de maatregel wordt uitgevoerd. Wie is verantwoordelijk? Hoe vaak wordt de maatregel uitgevoerd of gecontroleerd? Wat zijn de criteria voor succes? Documenteer ook de uitvoering zelf — een auditor wil niet alleen het beleid zien, maar ook het bewijs dat het beleid wordt nageleefd (zie ook stap 4).
In de praktijk worden systemen en diensten vaak door derden geleverd, zeker in het MKB, en tegenwoordig bijna volledig 'in de cloud'. Aan deze leveranciers moeten eisen gesteld worden qua prestaties en beveiliging, en vastgelegd worden in overeenkomsten. Hierbij geldt de vuistregel: de eisen die je aan je eigen organisatie stelt, moet je ook aan je leveranciers stellen. Deze afspraken moet je meetbaar maken, zodat je de naleving kunt controleren. Ook dit leg je vast als beleid.
## Stap 9 Borg het ISMS in de organisatie
Om te zorgen voor voortdurende verbetering een eis van ISO 27001 zul je een feedback loop moeten organiseren. Dat wil zeggen dat je de effectiviteit van de ISMS processen en maatregelen meet, en periodiek kijkt waar verbeteringen nodig of wenselijk zijn.
Er zijn in ieder geval twee concrete momenten waarop een evaluatie plaats moet vinden, volgens ISO 27001. Periodiek, ten minste jaarlijks, is er een zgn. directiebeoordeling ('management review'), waarin het topmanagement de werking van het ISMS beoordeelt en aanwijzingen geeft voor verbetering. Daarnaast moeten op geplande momenten interne audits uitgevoerd worden.
Maar wil je dat het ISMS ècht wat voor je organisatie doet namelijk een solide organisatie van de informatiebeveiliging dan moet je het integreren met de management cyclus. Dat doe je door de risico-eigenaren (business managers, zie stap 3) daadwerkelijk verantwoordelijk te maken voor het risiconiveau binnen hun management scope.
## Tot Slot
Deze road map gaat met zevenmijlslaarzen door de implementatie van ISO 27001 heen dat is de functie ervan. Het is geen 'rocket science', en ook geen zinloze formulierenwinkel. ISO 27001 vergt tijd en aandacht, maar je krijgt er veiligheid, beheersbaarheid, schaalbaarheid en adaptabiliteit voor terug. Meer ondersteuning nodig? Kijk op [iso27diy.com](https://www.iso27diy.com).

12
marketing/content/website/blog/9-steps-alternatieve-titel.md Normal file
View file

@ -0,0 +1,12 @@
"In 9 stappen naar ISO 27001-certificering" is functioneel maar saai. "In X stappen naar Y" is een van de meest gebruikte blogpost-formules op internet. Hij belooft structuur, maar zegt niets over wat de lezer er anders aan vindt dan de duizend andere lijstjes over ISO 27001.
Je blogpost heeft wél een scherpe invalshoek: **de volgorde is wat de meeste mensen fout doen**. Dat staat nu alleen in de eerste zin van de post, niet in de titel.
Alternatieven die dichter bij je werkelijke argument zitten:
- **ISO 27001: begin niet bij de maatregelen** — direct, tegendraads, triggert herkenning
- **De verkeerde volgorde is waarom ISO 27001-trajecten mislukken** — iets langer maar concreet
- **ISO 27001 in de juiste volgorde: 9 stappen** — zwakker dan de eerste twee, maar al beter dan het origineel
- **Waarom je ISO 27001 niet begint bij Bijlage A** — werkt goed voor mensen die al weten wat Bijlage A is (jouw doelgroep waarschijnlijk wel)
De eerste of de laatste zou ik serieus overwegen. Ze sluiten ook beter aan op de LinkedIn-posts die ik schreef, waar die haak het sterkste element is.

76
marketing/content/website/blog/9-steps-to-ISO-27001-Certification.md Normal file
View file

@ -0,0 +1,76 @@
# ISO 27001 Certification in 9 Steps
Most organisations start with the controls — which is the wrong way. Without a solid foundation, you will fail the audit, no matter how many controls you have implemented. You build that foundation through your risk management processes. Controls come after. This roadmap takes you through the certification in the right order.
## Step 1 Define your objectives
ISO 27001 is fundamentally about managing risk. Risks are events that make it harder to achieve your objectives. To know which risks to address, you first need to know what your organisation is trying to achieve. Are you pursuing rapid growth or stability? Continuous innovation or operational efficiency? Reputation or maximum profit?
Once that is clear, you can set your priorities for the ISMS — for example: the privacy of our patients comes first; or: our core systems must always be available; or: in the event of a serious incident, we are back up and running within a day.
## Step 2 Map the context
Risks arise from context — both internal and external. That is why ISO 27001 requires you to map it. What threats exist? Which laws and regulations apply? What developments do you see among your customers, regulators, your workforce, or in technology? Conduct a SWOT analysis and a stakeholder analysis.
Translate this into risks and opportunities, and then into what you need in terms of information management. This context analysis is critical input for the risk assessment in step 6.
Document the steps you took to map the context, and who was involved. The auditor will ask.
## Step 3 Assign responsibilities
A functioning ISMS requires clarity about who is responsible for what, and who makes which decisions. ISO 27001 explicitly names three roles:
- **Top management** is ultimately responsible for the policy and operation of the ISMS, and therefore for information security. Execution can be delegated — liability cannot.
- **Risk owners** determine whether risks have been reduced sufficiently, or whether additional controls are needed. In practice, these are business managers: their objectives are at stake when information is inadequately protected.
- **Asset owners** are responsible for appropriate controls to protect their assets. Asset ownership often sits with the IT function, and in smaller organisations execution is often handled by third-party suppliers.
For the various components of the ISMS, you will need to determine who decides, who advises, who executes, and who is kept informed. Capture this in a RASCI matrix.
## Step 4 Start documenting
ISO 27001 requires activities to be structured, verifiable, and repeatable. That means documenting. It will also help you grow from an organisation that stumbles from incident to incident, to one with the capacity to learn and continuously improve. You document upfront — this is how we will do it — and afterwards — this is what we did, and these were the results. Version and date your documentation, store it in a structured way, and make clear who drafts, reviews, and signs off each type of document. Schedule periodic reviews to check whether documents still reflect reality.
## Step 5 Classify your information
Not all information needs the same level of protection. Some information is highly confidential; other information is public by definition. Inventory the types of information within your organisation and consider how important availability, confidentiality, and integrity are for each type. Indicate this with High, Medium, or Low — or a classification scheme of your own choosing.
This is connected to how much risk your organisation is willing, or able, to carry.
Also describe where the information lives: which servers or suppliers hold it, which software contains it, and where it is used. This indicates where controls need to be applied.
## Step 6 Assess the risks
With the context analysis from step 2, you can now map the risks in detail. Look at four dimensions:
1. **Threat** — what could go wrong?
2. **Vulnerability** — how exposed are we?
3. **Impact** — what are the consequences?
4. **Probability** — what is the likelihood?
By scoring probability and impact — for example, 1, 2, or 3 — you can calculate a risk score: R = P x I. This helps you set priorities.
Each risk gets a risk owner. They will need to approve the risk treatment plan in step 7, and after implementation, they determine whether the risk has been reduced sufficiently. It is advisable to agree in advance what risk score is acceptable. Here too, the organisation's risk appetite is a factor.
## Step 7 Define controls and plan implementation
Now we arrive at the infamous 93 controls of Annex A. The good news is that you are probably already applying a significant number of them — internally or through a supplier. Start by inventorying those controls and documenting them in a way that fits the ISO 27001 framework. What matters is that you link each control to specific risks from step 6, and tie its scope to the information classification from step 5.
For the remaining controls, you will need to find a meaningful place to apply them — or argue why they do not apply to your organisation. This is captured in your Statement of Applicability. You do not need to have all applicable controls fully implemented before certification, provided you have a clearly substantiated implementation plan (see step 8), aligned with your priorities from the risk assessment in step 6.
## Step 8 Implement the controls
For each control, draft a policy that describes how it is carried out. Who is responsible? How often is the control executed or reviewed? What are the success criteria? Document the execution itself as well — an auditor wants to see not only the policy, but evidence that the policy is being followed (see also step 4).
In practice, systems and services are frequently provided by third parties — especially in SMEs, and today almost entirely from the cloud. You need to set requirements for these suppliers in terms of performance and security, and capture them in contracts. The rule of thumb: the standards you hold yourself to, you must also hold your suppliers to. Make these agreements measurable, so you can verify compliance. Document this as policy.
## Step 9 Embed the ISMS in the organisation
To ensure continual improvement — a requirement of ISO 27001 — you need to build a feedback loop. That means measuring the effectiveness of your ISMS processes and controls, and periodically reviewing where improvement is needed or desirable.
ISO 27001 prescribes at least two formal evaluation moments. Top management must conduct a management review at least once a year, assessing the performance of the ISMS and providing direction for improvement. In addition, internal audits must be carried out at planned intervals.
If you want the ISMS to really deliver — a solid, well-organised approach to information security — you need to integrate it with your management cycle. Do that by making the risk owners (business managers, see step 3) accountable for the risk level within their area of responsibility.
## In Closing
This roadmap moves through the ISO 27001 implementation at pace — that is its function. It is not rocket science, and it is not a pointless paperwork exercise. ISO 27001 requires time and attention, but in return you get security, manageability, scalability, and adaptability. Need more support? Visit [iso27diy.com](https://www.iso27diy.com).

73
marketing/content/website/blog/promoting-9-steps.md Normal file
View file

@ -0,0 +1,73 @@
# Promotie: "In 9 stappen naar ISO 27001-certificering"
## Blogpost
**Bestand:** `iso27DIY-mkII/Website/Content/blog/9-stappen-naar-ISO-27001-certificering.md`
**Kernargument:** De meeste organisaties beginnen bij de maatregelen — dat is de verkeerde volgorde. Het fundament is risicomanagement, en dat begint bij organisatiedoelen.
---
## Titeldiscussie
De originele titel ("In 9 stappen naar ISO 27001-certificering") is te generiek. De echte haak zit in de invalshoek: de volgorde is wat de meeste mensen fout doen.
**Betere alternatieven:**
- **ISO 27001: begin niet bij de maatregelen** ← sterkste optie
- **Waarom je ISO 27001 niet begint bij Bijlage A** ← goed voor de doelgroep
- De verkeerde volgorde is waarom ISO 27001-trajecten mislukken
- ISO 27001 in de juiste volgorde: 9 stappen
---
## Promotiemateriaal per kanaal
### LinkedIn — lang
> De meeste organisaties beginnen met de maatregelen. Verkeerde volgorde.
>
> Zonder fundament zak je voor de audit — ongeacht hoeveel je hebt geïmplementeerd.
>
> Het fundament is risicomanagement. En risicomanagement begint bij je doelen als organisatie. Wat wil je bereiken? Pas dan weet je welke risico's er toe doen.
>
> Ik heb de 9 stappen naar ISO 27001-certificering uitgeschreven — in de juiste volgorde, inclusief de logica erachter.
>
> Geen rocket science. Wel discipline.
>
> 👉 [link naar blogpost]
*Gebruik: persoonlijk profiel, thought leadership toon.*
---
### LinkedIn — kort
> ISO 27001 beginnen bij de maatregelen? Klassieke fout.
>
> De juiste volgorde: doelen → context → risico's → maatregelen.
>
> In 9 stappen uitgelegd — inclusief wat de auditor wil zien.
>
> 👉 [link]
*Gebruik: company page of als kortere variant.*
---
### X / Twitter
> Meeste bedrijven beginnen ISO 27001 bij de maatregelen. Auditor is niet blij.
>
> De juiste volgorde begint bij je doelen als organisatie.
>
> 9 stappen, uitgelegd: [link]
---
### Nieuwsbrief (teaser)
> ISO 27001-certificering mislukt zelden door slechte maatregelen — het mislukt door de verkeerde volgorde. Wie begint bij Bijlage A, bouwt op drijfzand. Ik heb de 9 stappen uitgeschreven zoals ze logisch op elkaar volgen, met uitleg waarom elke stap doet wat hij doet. Lees het hier: [link]
---
### WhatsApp / Slack
> Nieuwe blogpost: In 9 stappen naar ISO 27001-certificering — in de juiste volgorde. Niet beginnen bij de maatregelen dus. [link]
---
## UTM-parameters (ter herinnering)
Gebruik per kanaal een eigen `utm_source` + `utm_medium`, zodat Umami de traffic per kanaal onderscheidt. Campagnenaam bijv.: `iso27001-basics-q2-2026`.

38
marketing/content/website/blog/tsw-manifesto.md Normal file
View file

@ -0,0 +1,38 @@
---
title: "The Manifesto for Information Security Management"
description: "Every organization can build a mature security management system, creating compliance without complexity. Security management that adds actual business value by facilitating agility instead of introducing rigidity. Without hefty consulting bills."
date: 2026-03-23
categories: ["Company"]
tags: ["manifesto", "philosophy"]
draft: false
---
Through working with our clients we have come to value:
* Business over security
* Purpose over policy
* Iteration over perfection
* Risk-based decisions over checkbox compliance
While there is value in the items on the right, the items on the left are what makes security last.
---
## Our 10 Principles for implementing an effective ISMS
*We follow these principles:*
1. Our highest priority is to enable the business to achieve its goals with effective information security.
2. Adaptability is the foundation of good security.
3. Accountability for security rests with business management.
4. Every employee, at every level, carries an active responsibility for security within their own work scope. Leadership creates the conditions for this to happen.
5. Security professionals and business stakeholders meet regularly, face to face, to discuss risks and measures in the context of real work.
6. An exception properly handled is better than a rule blindly followed. Deviations are mostly a sign of bad policies, not of bad people.
7. Abstract risks breed diffuse responsibilities. A risk that belongs to everyone is a risk that belongs to no one.
8. Risk arises where work is done. Those doing the work are best placed to identify it.
9. Maturity requires reflection. Regularly examine what is working, what is not, and why. Adjust accordingly.
10. Do the right thing!
By following these principles, any organisation can build information security management that enables the business, adapts to change, and is carried by everyone in it.
© 2026 Thinking Security Works

83
marketing/content/website/homepage.md Normal file
View file

@ -0,0 +1,83 @@
# HOMEPAGE Get ready for ISO 27001 certification.
**No consulting required.**
[Start Your Free Trial](#) — *No credit card required*
---
## All you need to manage ISO 27001 compliance.
### Build the ISMS That Fits Your Business
Produce organization-specific, auditable evidence for each ISO 27001 requirement in 50+ guided micro-sessions.
### Map Your Security Controls
Connect your existing security practices to the right Annex A controls. Find the gaps and close them with the help of our comprehensive Knowledge Base.
### Manage Your Documentation
Keep your documentation audit-ready with our AuditGlue GRC tool.
AuditGlue supports AI-powered policy generation, version control, and task management.
### Human Support Available
Get answers to your questions from our ISO 27001 Experts via email or chat. Schedule a video call for detailed advice or arrange a pre-certification audit with our PECB Certified Lead Auditors.
---
## ISO27DIY is the right choice if:
### You're a Small Team Chasing Enterprise Deals
Enterprise clients demand ISO 27001 certification. ISO27DIY helps you meet that requirement, without the enterprise budget.
### You Want Guidance, Not Consultants
ISO27DIY supports you in doing as much as possible yourself, with a complete toolkit built by experienced ISO 27001 auditors and implementers.
### You Want Compliance to Actually Mean Something
ISO27DIY helps you integrate information security with the way you work, creating a business that's genuinely more resilient — with the certificate to prove it.
---
## Simple, transparent pricing.
**No consultants. No surprises.**
### Implementation — €39/month
*billed annually · €49 billed monthly*
Everything you need to get certified.
- ✅ Guided Implementation System
- ✅ Knowledge Base — all clauses & controls
- ✅ AuditGlue GRC tool
- Additional logins at €10.99/month
[Start free trial](https://iso.nekoluka.nl/login)
---
### Implementation + Support — €99/month ⭐ Most Popular
*billed annually · €119 billed monthly*
All of the above, plus expert support.
- ✅ Everything in Implementation
- ✅ Unlimited* email & chat support
- ✅ ISO 27001 experts, next business day
[Start free trial](https://iso.nekoluka.nl/login)
---
## Add-ons
### Pre-certification audit — €299 per session
Know where you stand before the real thing.
PECB Certified Lead Auditor, by video call. 3-hour sessions — a full audit typically takes 4 sessions.
[Book a pre-audit →](#)
### Expert video call — €49 per call
Stuck? Get 30 minutes with a certified auditor.
One-on-one with a PECB Certified Lead Auditor. No fluff, just answers.
[Book a call →](#)