第01回まっちゃ445勉強会 でも話題に上ったことですが、security を一定以上に保つためには発注時から secuirty 要件を盛り込む必要がありますね。一般に公開されているものとしては下記があります。
JNSA セキュアシステム開発ガイドライン
でもね、正直ここまで意識した RFP って現状では厳しいと思うんですよ。ぶっちゃけ、発注する側ここら辺の問題全く理解していないことも多いですし。理解しなきゃいけないという人もいますが、正直厳しいと思うんですよね。
個人的には当然やった方がいいと思いますが、そうなると RFP に定義された実装はともかくとして、試験をちゃんと行う必要があり、費用面で折り合わない場合も多いと思います。
現実問題としては、security 要件を全く盛り込まない RFP も多いわけで、そういう意味でもとりあえず security 要件をどんなものであろうと盛り込むのが現実的じゃないかと思ったり。