Um objeto de informação é um item de configuração que exibe informações de forma organizada. A finalidade do objeto de informação é descrever logicamente o tipo de dados que é trocado entre a aplicação e o banco de dados. Depois que os objetos de informação são criados, eles são mapeados para aplicações de negócios. Para uma determinada aplicação de negócios, os objetos de informação determinam se as informações podem ser criadas, atualizadas, excluídas ou lidas nessa aplicação de negócios. Essa capacidade permite que os responsáveis pela aplicação gerenciem informações com eficiência. De uma perspectiva da gestão de segurança da informação, essa capacidade permite que a função de risco e conformidade defina o nível correto de controles que devem ser aplicados.

A figura a seguir mostra um exemplo de objetos de informação. Existem duas aplicações: Workday e Now HR. Ambas as aplicações armazenam informações de funcionários. As informações do funcionário são um objeto de informação. A aplicação Now HR só pode ler informações de funcionários, enquanto a aplicação Workday tem mais permissões. Os riscos e controles que se aplicam às aplicações são semelhantes. No entanto, o Workday não apenas lê, mas também cria, atualiza e exclui as informações do funcionário. Isso significa que os riscos associados ao Workday são maiores e, portanto, os controles aplicados ao Workday são mais rigorosos.