要素一：能力建設目標
DSMM評估首先要確定建設目標，即數據安全能力成熟度級別。
DSMM定義了數據安全能力的5個級別。L1級為隨機、無序、被動地執行全過程，完全依賴于個人經驗，無法復制；L2級為計劃跟蹤級別，適合多數企業數據安全能力建設的申請級別；L3級為充分定義級，要求足夠的數據安全團隊保障、完善的制度流程和專業的技術工具，因此在人力、物力、財力等方面投入要遠高于L2級，適合具有較高數據安全實踐水平的企業組織申請；L4級為量化控制級，適合在數據安全領域建設水平領先的企業組織申請；L5根據企業組織的整體目標，不斷改進和優化組織能力和數據安全過程。

要素二：數據資產范圍
數據資產是為組織產生價值的數據資源，是指可以提升企業組織效益、提高管理水平或通過出售、租賃數據的方式獲得經濟收益。
核心業務數據、敏感數據、密鑰資產數據等重要數據應納入數據資產評估范圍。對于有些企業組織，業務系統未進行集成化管理，具備幾十甚至上百個系統，大大增加了DSMM評估企業的整改成本，在明確數據資產范圍過程中，可暫不納入輔助業務系統。評估人員有義務幫助企業組織平衡業務系統數據安全整改成本與數據資產收益。

要素三：數據安全風險
在DSMM評估工作過程中，評估人員應幫助企業組織對自身數據資產的業務系統在數據的采集、傳輸、存儲、處理、交換和銷毀過程，梳理數據安全風險點，并記錄所有風險點，全面掌握企業組織的數據安全能力現狀與建設目標的差距。