葉っぱ日記から。記事もあったので記事にリンク。

Webシステムの構築をSIベンダーに委託するユーザー企業が「提案依頼書（RFP）」に盛り込むべき最低限のセキュリティ項目をまとめたドキュメント「Webシステム セキュリティ要求仕様（RFP）編 β版」を公開した。「対策手法」や「現象（被害内容）」など複数の観点から，重要度を「必須」「推奨」「任意」の3レベルに分け，具体的な記述サンプルを示している点が特徴だ。

実際に、JNSAのサイトから件の要求仕様を見てみましたが、かなりまとまっていて良い感じ。
資料はユーザだけが見るのではなく、開発側も心しておくべき事の手本になりそうかな。あとは、要求をあまり出さないユーザに対して委託側が教えてあげるのも、後々のことを考えるとよいことだと思います。
NPO 日本ネットワ−クセキュリティ協会：JNSAセキュアシステム開発ガイドライン　「Webシステム　セキュリティ要求仕様（RFP）」編　β版