1级（非正式执行）主要特点：数据安全工作是随机、无序、被动执行的，依赖与个人，经验无法复制。组织在数据安全领域未执行有效的相关工作，仅在部分场景或项目的临时需求执行相关工作，未形成成熟的机制，来保障数据安全相关工作的持续开展。

       2级（计划跟踪）主要特点：在项目级别主动实现了安全过程的计划与执行，没有形成体系化。规划执行，对数据安全过程进行规划，提前分配资源和责任；规范化执行，对安全过程进行控制，使用安全执行计划，执行相关标准和程序的过程，对数据安全过程实施配置管理；验证执行，确认过程按照预定的方式执行，验证执行过程与可应用的计划是一致的，对数据安全过程进行审计；跟踪执行，控制数据安全项目的进展，通过可测量的计划跟踪过程执行，当过程实践与计划产生重大的偏离时采取修正行动。

      3级（充分定义）主要特点：在组织级别实现了安全过程的规范定义和执行。定义标准过程，组织对标准过程进行制度化，形成标准化过程文档，为满足特定用途对标准过程进行裁剪；执行已定义的过程，充分定义的过程可重复执行，针对有缺陷的过程结果和安全实践的核查，使用过程执行的结果数据；协调安全实践，对业务系统和组织的协调，确定业务系统内，各业务系统之间、组织外部活动的协调机制。

      4级（量化控制）主要特点：建立了量化目标，安全过程可量化度量和预测。建立可测的目标，为组织数据安全建立可测量的目标；客观的管理执行，确定过程能力的量化测量来管理安全过程，以量化测量作为修正行动的基础。

      5级（持续优化）主要特点：根据组织的整理战略和目标，不断改进和优化数据安全过程。改进组织能力，在整个组织范围内的标准过程使用情况进行比较，寻找改进标准过程的机会，分析对标准过程的可能变更。改进过程有效性，制定处于连续受控改进状态下的标准过程，提出消除标准过程产生缺陷的原因和持续改进的标准过程。

 评估依据

       数据安全能力成熟度评估（以下简称“DSMM评估”）是依据《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）国家标准和《数据安全能力建设实施指南V1.0》，对组织的数据安全开展能力评估。

评估内容 

       DSMM评估以组织为单位，以数据为中心，围绕数据的生命周期，对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估，涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践。