閲覧ありがとうございます。

項番(三)についてです。

A社グループ基準では「脆弱性診断を行った場合2カ月以内に情報セキュリティ委員会にその結果を報告する」と記載があります。
点検結果には「OS及びミドルウェアに対する脆弱性の診断結果は4月と10月それぞれの月末に情報セキュリティ委員会に報告した」と記載がありました。

仮に脆弱性診断を2月1日に行い、4月末の情報セキュリティ委員会に報告したとなると、グループ基準となる「2ケ月以内に報告」を満たさず、項番(三)は誤りになると考えます。

なぜ正答になるのでしょうか。

回答よろしくお願いします。

項番（二）のOS及びミドルウェアの脆弱性診断にて、「毎年4月及び10月に脆弱性診断をB社サイトに対して行っている。」とあります。

それを受けての結果報告が4月と10月の月末の情報セキュリティ委員会ですから、特に問題はないです。

ありがとうございます。解決しました。

項番(三)しか見ていなかったので答えが分からずじまいでした。