自分で設定する場合にはフォームが存在するのであれば必ずHTTPSのみアクセス可能にします。
正確にはHTTPでアクセスされたらHTTPSにリダイレクトするように設定します。

理由としては社内の誰かが間違ってHTTPでのURLを通知するなどの可能性が排除できないためです。
また、HTTPでアクセス出来るような状態を他人に見られたら
「あ、この会社はセキュリティにはあんまり関心が無いんだ」
と判断され得るという現実があります。

.htaccessなりapacheのconfなりでHTTPSに統合することは簡単に出来るので、
この手間を惜しんでHTTPを生かしておく理由がありません。

確かに脆弱性というのとは少し違うと思います。
https 接続しているにも関わらず、SSL3.0 を有効にしているとか、OpenSSL のバージョンが古すぎるとかなら脆弱性ですが、通常https で提供していて、http でもアクセスできるのであれば、単にサイトのポリシーでしかないのでは。サイト上のリンクも、https で貼ってあるなら、わざわざhttp に直すのは、エンジニアの人が言うように個人の自由だと思います。
以前、あまりわかってない人から「エンドユーザのPC に絶対情報を残したくないから、PrintScreenボタンを無効にする方法はないか？」と相談されたことがありますが、その監査部門の人の理解度も同程度な気がします。

HTTP通信だとフォームに記入した個人情報が漏れる可能性があるので、望ましくありません。
常時SSL対応が主流になりつつあり、tanatさんの回答にもある通りセキュリティに対する意識が低いと外部からは判断され、Googleからのサイト評価も落ちてしまいます。

可能であるならば、個人情報を扱うページは強制的にSSL対応にすべきでしょう。

グローバルサインのサイトに詳しく述べられていましたので、参考にご覧ください。
SSL導入の必要性 | SSL・電子証明書ならGMOグローバルサイン

ECサイトを構築する過程で、セキュリティ専門の調査会社のサイト診断を受けたことがありますが、「HTTPSでアクセスすべきページにHTTPでアクセスが可能」というのは、緊急度はLowですが指摘事項として挙がってました。
ちなみに緊急度Lowは「即時改善は求めないが、メンテナンス計画を作成して改善すべき脆弱性」という定義で、「最終的には改善してください」ということです。

これは、さほど難しい設定でもないと思うので、実施するのが良いと思います。

はい、私もhttps へリダイレクトさせる方法をとります。

顧客の個人情報を守る努力は、サイト、顧客共にあるはずです。

その入力ページへのリンクがあるページにhttpのリンクを間違って張った場合は、責任はサイト側です。

ローカル環境で開発しているときなど、うっかりhttpで書いて動いてしまう。試験でも動いてしまう。結果本番環境まででてしまい、事故が起きてから気付くというのは、最悪なシナリオですが、httpアクセスが許容されている時点で起こりえます。

そういった事故を防ぐためにも、リダイレクトさせるよう改善したらどうでしょうか？

仕様上、そのような取り決めがなかった場合は、後から仕様を追加するのは嫌がられることもあるでしょうが、せっかく監査部門が指摘してくれたのですから、彼らの仕事を無下にすることもないでしょう。

監査部門は、指摘したのですから、この後の責任は、改善を入れるか入れないか判断する部署になります。
事故が起きてからでは、大変ですよ。

安全確保は顧客にもサイト側にもメリットがあると思いますので、是非検討されたら良いと思います。