セキュリティのために予算は付きません（笑）
受注選定段階で、条件として言われることです。どこで作業しろとか、ファイル持ち帰らせないとか、関る人間の身上書（オウム信者を警戒するのは今でもあります）提出しろとか。担当者が冗談混じりで言ってきますけど、目はマジですな(^_^;)　むろん、契約書でさらに念を押されますけど。

あと、新参の新規参入ですが、そもそもこういうレベルの入札に参加できるのは、大手企業ばかりです。これは別に大手を優遇しているわけではなく、保証などの面で、中小企業じゃまかないきれないからです。
じゃあ中小企業はどうするかというと、大手企業の下請けとして動くわけです。この場合、下請企業にセキュリティを維持させる責任は、大手企業に発生します。このとき発注者の言ってきたセキュリティ対策を、そのまま（あるいはもっと厳しくして）提示するのが普通です。
tac

tacさん、詳しい回答有難うございました。
やはり予算はつかないのですか。
ふたたび質問させていただきたいのですが、発注段階での保守条件は相当詳細に決められているみたいですが、日進月歩のスパイ（？）技術に対応するため、開発中に「セキュリティレベル上げろ」と後から言われたりすることはないんでしょうか（大手メーカーだったら言われなくとも情報保持に力入れるだろうから、無用な心配なのかもしれませんが)。
酢蛸仏

セキュリティといっても、こういう場合のそれは、物理的侵入に対するものです。たとえば ID カードを持たせて、出入りを監視する。入退室時の持ち物チェックとかね。外部との通信禁止、なんてこともありますよ。論理的防御（ネットワークごしのハック）に対しては、そもそも開発器材のある場所はネットワーク的に切り離す（外との接点を持たせない）といった処置を講じます。

まあ利便性を考えてネットワークをつなぐ（ただし厳重なファイアーウォールなどの処置をして）ことはありますが、その際にはネットワーク管理者が、保安上の責任も負います。セキュリティ情報には常に目を光らせ、やばいことが発覚したらすぐ手を打つようにするわけです。端からみると毎日毎日ネットワークトラフィック見守ってるとか、単なる Web サーフィン（実際にはセキュリティ情報の収集）しているようにしか見えなかったりしますが（笑）
tac

tacさん、二度も詳しい回答有難うございました。
やっぱり色々気を遣ってるみたいですね。
ネットワークから切り離して独立させるというのは気がつきませんでした。
これなら物理的進入への対処を考慮していればまず安全でしょうね。

酢蛸仏

追記。入札段階で企業側が「このくらいの予算でならやれます」って見積もりを出すわけですが、この中にセキュリティ整備費用を含めることは可能です。もっともほとんどの場合、こういうのは既に持っているので必要ないんですけどね。
あと、情報流出のパターンとしては、外部からの盗み取りよりも、内部（関係者）からのリークのほうが圧倒的に多いのです。ID カードによる入退室管理ってのは、関係者の動向把握の意味も含んでいるんですよ。
tac