评价的步骤分成了两个，是比较与风险准则大小

131评价的步骤分成了两个，是比较与风险准则大小，还要按照优先级排序。这里词汇和前面用的容易有歧义，6.1.2 a） 中为：establishes and maintains information security risk criteria，此处的描述为：compare the results of risk analysis with the risk criteria established in 6.1.2 a)。显然，risk criteria就是指information security risk criteria。原则上讲，既然所有的词汇前面都加了information security这个定语，此处也应该加上该定语。

132关于信息安全风险准则(information security risk criteria)的描述，比ISO/IEC 27001：2005要逻辑的多。连介词都容易理解多了·例如，ISO/IEC 27001：2005中为establishes criteria against which risk will be evaluated，ISO/IEC 27001：2013 中修改成了criteria for- - - - -以前的描述不太容易理解。

133本句话的原文为：prioritize the analysed risks for risk treatment。for，表示目的，此处分开翻译了。