要素一：能力建设目标
DSMM评估首先要确定建设目标，即数据安全能力成熟度级别。
DSMM定义了数据安全能力的5个级别。L1级为随机、无序、被动地执行全过程，完全依赖于个人经验，无法复制；L2级为计划跟踪级别，适合多数企业数据安全能力建设的申请级别；L3级为充分定义级，要求足够的数据安全团队保障、完善的制度流程和专业的技术工具，因此在人力、物力、财力等方面投入要远高于L2级，适合具有较高数据安全实践水平的企业组织申请；L4级为量化控制级，适合在数据安全领域建设水平领先的企业组织申请；L5根据企业组织的整体目标，不断改进和优化组织能力和数据安全过程。

要素二：数据资产范围
数据资产是为组织产生价值的数据资源，是指可以提升企业组织效益、提高管理水平或通过出售、租赁数据的方式获得经济收益。
核心业务数据、敏感数据、密钥资产数据等重要数据应纳入数据资产评估范围。对于有些企业组织，业务系统未进行集成化管理，具备几十甚至上百个系统，大大增加了DSMM评估企业的整改成本，在明确数据资产范围过程中，可暂不纳入辅助业务系统。评估人员有义务帮助企业组织平衡业务系统数据安全整改成本与数据资产收益。

要素三：数据安全风险
在DSMM评估工作过程中，评估人员应帮助企业组织对自身数据资产的业务系统在数据的采集、传输、存储、处理、交换和销毁过程，梳理数据安全风险点，并记录所有风险点，全面掌握企业组织的数据安全能力现状与建设目标的差距。