DSMM架构由以下三个维度构成：１、安全能力维度：安全能力维度明确了组织在数据安全领域应具备的能力，包括组织建设、制度流程、技术工具和人员能力。２、能力成熟度等级维度：数据安全能力成熟度等级划分为五级，具体包括：1级非正式执行级、2级计划跟踪级、3级充分定义级、4级量化控制级、5级持续优化级。３、数据安全过程维度：　　①数据安全过程包括数据生存周期安全过程和通用安全过程。　　②数据生存周期安全过程具体包括：数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。

能力成熟度等级与PA（过程域）、BP（基本实践）、安全能力的关系如下： a）将组织在每个数据安全PA的能力成熟度划分为五级，针对每个等级下组织应具备的能力要求，从4个安全能力（组织建设、制度流程、技术工具及人员能力）提出具体的BP。 b）3级要求应包含全部4个安全能力，其他等级要求可不包含完整的4个数据安全关键能力，并非每个安全PA能力成熟度等级都包含完整的4个数据安全关键能力。示例：某些PA的2级要求具备组织建设和制度流程两个关键能力，而4级和5级的能力要求仅涉及部分关键能力如组织建设、技术工具的提升。 c）对于每个数据安全PA，高等级的能力要求应包括所有低等级能力要求。针对某一具体数据安全PA，如果5级的能力要求中未涉及某一关键能力的内容，则默认应达到在4级的能力要求中的该关键能力的内容；如果4级的能力要求中依旧未涉及该关键能力，则默认应达到在3级的能力要求中该关键能力的内容，依次类推。

数据生存周期 数据生存周期分为以下6个阶段：
a）数据采集：组织内部系统中新产生的数据，以及从外部系统收集数据的阶段；
b）数据传输：数据从一个实体传输到另一个实体的阶段；
c）数据存储：数据以任何数字格式进行存储的阶段；
d）数据处理：组织在内部对数据进行计算、分析、可视化等操作的阶段；
e）数据交换：组织与组织或个人进行数据交换的阶段；
f）数据销毁：对数据级数据存储媒体通过相应的操作手段，使数据彻底删除且无法通过任何手段恢复的过程。特定的数据所经历的生存周期由实际的业务所决定，可为完整的6个阶段或是其中的几段。