¿Qué estándares y prácticas profesionales se recomiendan para guiar este esfuerzo?
Como se mencionó en los comentarios, lo más probable es que la mejor opción sea obtener una empresa externa con experiencia en esta área, si es algo de lo que su organización no tiene experiencia. Dicho esto, hay varias cosas que podría considerar en términos de lo que desea obtener de la revisión, lo que podría ayudarlo a obtener la compañía correcta y encargar el trabajo correcto, algunas cosas que debe considerar: -
Un buen lugar para comenzar es el proyecto OWASP. En este caso, creo que OWASP ASVS puede ser útil. Puede verificar su aplicación en el nivel L2A o L2B ya que tiene acceso al código fuente.
Lamentablemente, es probable que no puedas probar tu aplicación correctamente si no tienes experiencia en esta área, por lo que contratar a alguien es una buena decisión. Por supuesto, incluso si contrata a alguien, debe especificar el objetivo de esta prueba (decir que "quiero que la aplicación sea segura" no es una buena idea), y nuevamente, en mi opinión, usar ASVS como lista de verificación es una muy buena elección. .
Lea otras preguntas en las etiquetas web-application appsec audit asp.net