1级（非正式执行）主要特点：数据安全工作是随机、无序、被动执行的，依赖与个人，经验无法复制。组织在数据安全领域未执行有效的相关工作，仅在部分场景或项目的临时需求执行相关工作，未形成成熟的机制，来保障数据安全相关工作的持续开展。2级（计划跟踪）主要特点：在项目级别主动实现了安全过程的计划与执行，没有形成体系化。规划执行，对数据安全过程进行规划，提前分配资源和责任；规范化执行，对安全过程进行控制，使用安全执行计划，执行相关标准和程序的过程，对数据安全过程实施配置管理；验证执行，确认过程按照预定的方式执行，验证执行过程与可应用的计划是一致的，对数据安全过程进行审计；跟踪执行，控制数据安全项目的进展，通过可测量的计划跟踪过程执行，当过程实践与计划产生重大的偏离时采取修正行动。3级（充分定义）主要特点：在组织级别实现了安全过程的规范定义和执行。定义标准过程，组织对标准过程进行制度化，形成标准化过程文档，为满足特定用途对标准过程进行裁剪；执行已定义的过程，充分定义的过程可重复执行，针对有缺陷的过程结果和安全实践的核查，使用过程执行的结果数据；协调安全实践，对业务系统和组织的协调，确定业务系统内，各业务系统之间、组织外部活动的协调机制。4级（量化控制）主要特点：建立了量化目标，安全过程可量化度量和预测。建立可测的目标，为组织数据安全建立可测量的目标；客观的管理执行，确定过程能力的量化测量来管理安全过程，以量化测量作为修正行动的基础。

5级（持续优化）主要特点：根据组织的整理战略和目标，不断改进和优化数据安全过程。改进组织能力，在整个组织范围内的标准过程使用情况进行比较，寻找改进标准过程的机会，分析对标准过程的可能变更。改进过程有效性，制定处于连续受控改进状态下的标准过程，提出消除标准过程产生缺陷的原因和持续改进的标准过程。