残余信息安全风险

148残余信息安全风险，residual information security riska残余风险在ISO/IEC Guide73中有定义，ISO/IEC 27001：2005进行了引用，但是在ISO/IEC 27000：2009中没有进行定义。残余信息安全风险这个说法很少见，这里都将信息安全作为限定词加在前面。应该说，本标准原则上应该都有限定词，但是某些地方也不太统一，例如，有“风险准则”也有“信息安全风险准则”。

149终于出现了align这个词汇，注意这个词汇在信息系统研究(Information System Research)领域出现频繁，例如，信息系统战略与组织战略的校准。如前所述，校准就有一个主次的问题。

150原文为：The information security risk assessment and treatment process in this International Standard aligns with the principles and generic guidelines provided in IS0 31000。

151在相关的功能和级别上，at relevant functions and levels。

152……一致，be consistent with。

153本句原文为：be measurable(if practicable)o这里的描述还是很实在的，不是所有的目标都是可以测量的，尤其是定量

测量。如果一旦目标只能定性的判断是否能达到，这其中可操作的空间就太大了，目标相当于形同虚设。measurable比较倾向于定量，例如：Economists emphasize measurable quantities - the number of jobs, the per capita income（经济学家看重的是可测定的量一岗位数量、人均收入等）。在标准的部署过程中，我们应该多将目标定量化，虽然这些定量的指标存在诸多的不合理，但是有总比没有好。如果一旦陷入到对这些具体指标的合理性讨论中，最终会导致目标描述模糊，这与标准的初衷是背道而驰的。

154此处原文词汇为applicable，适用的、适当的都可以。既然是要求，更多一些。

155这里的风险评估和风险处置又都没有“信息安全”这个限定词了， 的信息安全风险评估和信息安全风险处置。

156传达还是communicate。

157原文为：be updated as appropriate。

适用的更广泛一下，适当的可能主观选择的意味但是看起来不是