要素一：能力建設(shè)目標(biāo)
DSMM評估首先要確定建設(shè)目標(biāo)，即數(shù)據(jù)安全能力成熟度級別。
DSMM定義了數(shù)據(jù)安全能力的5個級別。L1級為隨機(jī)、無序、被動地執(zhí)行全過程，完全依賴于個人經(jīng)驗，無法復(fù)制；L2級為計劃跟蹤級別，適合多數(shù)企業(yè)數(shù)據(jù)安全能力建設(shè)的申請級別；L3級為充分定義級，要求足夠的數(shù)據(jù)安全團(tuán)隊保障、完善的制度流程和專業(yè)的技術(shù)工具，因此在人力、物力、財力等方面投入要遠(yuǎn)高于L2級，適合具有較高數(shù)據(jù)安全實踐水平的企業(yè)組織申請；L4級為量化控制級，適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的企業(yè)組織申請；L5根據(jù)企業(yè)組織的整體目標(biāo)，不斷改進(jìn)和優(yōu)化組織能力和數(shù)據(jù)安全過程。

要素二：數(shù)據(jù)資產(chǎn)范圍
數(shù)據(jù)資產(chǎn)是為組織產(chǎn)生價值的數(shù)據(jù)資源，是指可以提升企業(yè)組織效益、提高管理水平或通過出售、租賃數(shù)據(jù)的方式獲得經(jīng)濟(jì)收益。
核心業(yè)務(wù)數(shù)據(jù)、敏感數(shù)據(jù)、密鑰資產(chǎn)數(shù)據(jù)等重要數(shù)據(jù)應(yīng)納入數(shù)據(jù)資產(chǎn)評估范圍。對于有些企業(yè)組織，業(yè)務(wù)系統(tǒng)未進(jìn)行集成化管理，具備幾十甚至上百個系統(tǒng)，大大增加了DSMM評估企業(yè)的整改成本，在明確數(shù)據(jù)資產(chǎn)范圍過程中，可暫不納入輔助業(yè)務(wù)系統(tǒng)。評估人員有義務(wù)幫助企業(yè)組織平衡業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全整改成本與數(shù)據(jù)資產(chǎn)收益。

要素三：數(shù)據(jù)安全風(fēng)險
在DSMM評估工作過程中，評估人員應(yīng)幫助企業(yè)組織對自身數(shù)據(jù)資產(chǎn)的業(yè)務(wù)系統(tǒng)在數(shù)據(jù)的采集、傳輸、存儲、處理、交換和銷毀過程，梳理數(shù)據(jù)安全風(fēng)險點，并記錄所有風(fēng)險點，全面掌握企業(yè)組織的數(shù)據(jù)安全能力現(xiàn)狀與建設(shè)目標(biāo)的差距。