131評價的步驟分成了兩個，是比較與風險準則大小，還要按照優先級排序。這里詞匯和前面用的容易有歧義，6.1.2 a） 中為：establishes and maintains information security risk criteria，此處的描述為：compare the results of risk analysis with the risk criteria established in 6.1.2 a)。顯然，risk criteria就是指information security risk criteria。原則上講，既然所有的詞匯前面都加了information security這個定語，此處也應該加上該定語。

132關于信息安全風險準則(information security risk criteria)的描述，比ISO/IEC 27001：2005要邏輯的多。連介詞都容易理解多了·例如，ISO/IEC 27001：2005中為establishes criteria against which risk will be evaluated，ISO/IEC 27001：2013 中修改成了criteria for- - - - -以前的描述不太容易理解。

133本句話的原文為：prioritize the analysed risks for risk treatment。for，表示目的，此處分開翻譯了。