http://www.nisc.go.jp/active/general/kijun_man_index.htm
いろいろありまんがな。中でも、6章あたりが面白いかな？
じっくり読んでみよう。
このあたりがよさげ？
http://www.nisc.go.jp/active/general/pdf/dm6-03-051_sample.pdf
http://www.nisc.go.jp/active/general/pdf/dm6-07-071_manual.pdf

調達者は、セキュリティ要求仕様を作成し、セキュリティ提案仕様を正しく評価
するための能力を確保すること

提案者が具体性の高いセキュリティ提案仕様を作成するために十分なセキュリテ
ィ要求仕様を調達者が提示すること。このためには、調達者は、外部委託を行う
に当たり、情報システム等の概要、保護すべき情報資産、前提条件及び脅威を十
分に明らかにすること。

さすがに、これをできる組織は限られてる気がするけど･･･