問
ソフトウェアのパッチの適用において，システムに不具合が発生するリスクを低滅するコントロールを監査する際のチェックポイントはどれか。

答
本稼働前にシステムの動作確認を十分に実施していること。

解説
「本稼働環境に適用する前に動作テストが十分に行われていること」が監査のチェックポイントになります。

とありますが、「本稼働前にシステムの動作確認」に「予備マシンでの動作確認」の意味はないと思うのですが、どうやって読み取ればいいのでしょうか？
「パッチを当てた後、業務で使用する前にパッチを当てたことによる不具合が発生していないか確認をする」としか読み取れません。
その読み取り方だと解説の通り「システムに不具合が発生するリスクを低滅」なりません。
「本稼働前」にそういった意味があるのでしょうか？

※私は実務経験者ではありません
※あくまで個人的見解です

私が現時点での解説文を読んだ感じでは、
エ．本稼働前に【予備マシンや本番マシンで】システムの動作確認を十分に実施していること
ということかなと思います。

Step1.本番マシンにパッチ適用＆動作確認
Step2.本番マシンを正式に再開（本稼働）
でも選択肢エ的にはOKになるけど
Step0.予備マシンにパッチ適用＆動作確認
をワンクッションおいてからするとより安全なので”望ましい”と言っているのかと。

参考（このページの４番のところ）
https://www.ipa.go.jp/security/awareness/administrator/secure-web/chap3/3_require-5.html

――No.2に追記――
そういえばなのですが
「システムに不具合が発生するリスクを低滅する」という観点からして
Step1の時点で、システムに不具合が発生するときは発生する状態になっていることから
Step0→1に移った時点で「システムに不具合が発生するリスク」は確定してしまいますね。