131评价的步骤分成了两个,是比较与风险准则大小,还要按照优先级排序。这里词汇和前面用的容易有歧义,6.1.2 a) 中为:establishes and maintains information security risk criteria,此处的描述为:compare the results of risk analysis with the risk criteria established in 6.1.2 a)。显然,risk criteria就是指information security risk criteria。原则上讲,既然所有的词汇前面都加了information security这个定语,此处也应该加上该定语。
132关于信息安全风险准则(information security risk criteria)的描述,比ISO/IEC 27001:2005要逻辑的多。连介词都容易理解多了·例如,ISO/IEC 27001:2005中为establishes criteria against which risk will be evaluated,ISO/IEC 27001:2013 中修改成了criteria for- - - - -以前的描述不太容易理解。
133本句话的原文为:prioritize the analysed risks for risk treatment。for,表示目的,此处分开翻译了。