Gran parte di questa risposta dipende molto dal tipo (i) di sistemi e dati che stai proteggendo e anche da ciò che stai cercando di ottenere attraverso la tua valutazione. Vorresti anche considerare la storia dell'organizzazione che viene valutata. Ad esempio, se le risorse hanno maggiori probabilità di essere rubate o danneggiate fisicamente, si consiglia innanzitutto di dare priorità a una revisione della sicurezza fisica.
Detto ciò dal punto di vista della protezione delle risorse informative che molto probabilmente sono connesse a Internet, suggerirei di adottare un duplice approccio per raccomandare un test di penetrazione esterno per fornire al cliente un feedback rapido su problemi potenzialmente critici che riguardano Internet e combinandolo con una valutazione di sicurezza per scopi generici che sarebbe davvero molto più approfondita su come funziona l'organizzazione e non funziona in termini di sicurezza. È importante notare che esistono anche diversi tipi di test di penetrazione.
Per quanto riguarda la definizione delle priorità, di solito trovo che si tratti più di una questione di budget di tempo / denaro e che il cliente cerca sempre di bilanciare ciò che ottiene il "più alto rischio". Suppongo che, dal momento che hai fatto questa domanda, fondi illimitati e / o tempo illimitato non siano chiaramente un'opzione.
Il mio suggerimento sarebbe quello di determinare quali obiettivi l'organizzazione vorrebbe ottenere attraverso questa valutazione / audit prima. Una volta che hai una chiara serie di obiettivi, sarebbe molto più facile raccomandare / dare la priorità al miglior approccio di valutazione.
Andrò su un arto e dirò che se stai avviando un programma di sicurezza in un'azienda che non ha mai fatto nulla di questo, i risultati potrebbero essere negativi in ogni particolare area. Se questo è il caso, non vuoi spendere una grande quantità di budget per la valutazione in una singola area (ad esempio un test di penetrazione profonda di una singola applicazione o solo una valutazione di sicurezza fisica) perché se è ovviamente molto brutto questo sforzo sarà sprecato. In questo caso particolare suggerirei una valutazione di sicurezza generale con l'obiettivo di analizzare la sicurezza dell'organizzazione nel suo complesso e avendo esplicitamente come obiettivo finale del progetto che il valutatore crea una "road-map" dei prossimi passi per ogni area che ha bisogno di ulteriore sicurezza (questo può essere fatto anche nel contesto di PCI-DSS, NIST sp800-53 o ISO-27000) ma la cosa più importante è che il rapporto non è limitato a quegli standard.
In questa particolare situazione penso che scegliere l'individuo / azienda per farlo sia altrettanto importante per il successo della valutazione. Se riesci a trovare qualcuno che vuole davvero aiutarti a proteggere la tua organizzazione, è estremamente dotato di sicurezza e può chiaramente comunicare ciò che deve essere fatto ai dirigenti in modo che essi saranno ricettivi a te avranno un valore molto prezioso e aprendo gli occhi esperienza che può avere un impatto enorme sulla salute a lungo termine della vostra organizzazione. Allo stesso modo, se stai facendo questo internamente per la tua organizzazione, sicuramente pensa a come sfruttare al meglio questa opportunità per aiutare la tua organizzazione a lungo termine.
Tornando alla tua domanda, per la maggior parte delle aziende la scelta di diversi tipi di valutazioni è più spesso guidata da requisiti normativi, accordi cliente / fornitore o politica interna. Per quelle organizzazioni non guidate da una di queste variabili l'ambito è generalmente guidato da ciò che fornisce il massimo "bang for the buck" e in definitiva che di solito è qualcosa di più un ibrido di metodologie piuttosto che un ordinamento specifico di 1, quindi 2, quindi 3. Infine, per quanto riguarda l'impatto sull'accuratezza dei risultati, ritengo che non vi debbano essere conflitti in questo settore, tanto quanto i diversi livelli di profondità tecnica. Il conflitto è in genere una questione di budget (tempo e / o denaro), quindi fare trade-off per ottenere tutte le aree coperte al massimo livello di profondità per un dato budget e tempo è più come le cose tendono a funzionare.
Come consiglio correlato: scavare molto profondamente nell'apprendimento di tutti gli standard di auditing, sicurezza e penetrazione, ma NON associarvi neanche a questi. Hanno tutti i loro punti deboli e problemi. Finché non avrai una profonda comprensione di ciascuno dei loro punti di forza e di debolezza, non sarai realmente in grado di condurre o richiedere correttamente valutazioni di alta qualità. Intendiamoci, non penso che questa roba sia tecnicamente difficile da imparare, ma potrebbe richiedere più tempo di quello che hai prima di iniziare. Se tu, o chiunque altro leggerà questo, si trova in questa situazione e di fretta (sto facendo ipotesi qui), potrebbe essere saggio assumere qualcuno che non ha interessi in conflitto per passare semplicemente un'ora o due a aiutarti a capire il modo migliore per andare avanti nella tua situazione particolare prima di iniziare.
In ogni caso, questa potrebbe non essere la risposta più semplice di come avresti potuto sperare, ma spero che tu la trovi utile.