148殘余信息安全風險，residual information security riska殘余風險在ISO/IEC Guide73中有定義，ISO/IEC 27001：2005進行了引用，但是在ISO/IEC 27000：2009中沒有進行定義。殘余信息安全風險這個說法很少見，這里都將信息安全作為限定詞加在前面。應該說，本標準原則上應該都有限定詞，但是某些地方也不太統一，例如，有“風險準則”也有“信息安全風險準則”。

149終于出現了align這個詞匯，注意這個詞匯在信息系統研究(Information System Research)領域出現頻繁，例如，信息系統戰略與組織戰略的校準。如前所述，校準就有一個主次的問題。

150原文為：The information security risk assessment and treatment process in this International Standard aligns with the principles and generic guidelines provided in IS0 31000。

151在相關的功能和級別上，at relevant functions and levels。

152……一致，be consistent with。

153本句原文為：be measurable(if practicable)o這里的描述還是很實在的，不是所有的目標都是可以測量的，尤其是定量

測量。如果一旦目標只能定性的判斷是否能達到，這其中可操作的空間就太大了，目標相當于形同虛設。measurable比較傾向于定量，例如：Economists emphasize measurable quantities - the number of jobs, the per capita income（經濟學家看重的是可測定的量一崗位數量、人均收入等）。在標準的部署過程中，我們應該多將目標定量化，雖然這些定量的指標存在諸多的不合理，但是有總比沒有好。如果一旦陷入到對這些具體指標的合理性討論中，最終會導致目標描述模糊，這與標準的初衷是背道而馳的。

154此處原文詞匯為applicable，適用的、適當的都可以。既然是要求，更多一些。

155這里的風險評估和風險處置又都沒有“信息安全”這個限定詞了， 的信息安全風險評估和信息安全風險處置。

156傳達還是communicate。

157原文為：be updated as appropriate。

適用的更廣泛一下，適當的可能主觀選擇的意味但是看起來不是