Un objet d’information est un élément de configuration qui affiche des informations dans un formulaire organisé. L’objectif de l’objet d’information est de décrire logiquement le type de données qui sont échangées entre l’application et la base de données. Une fois les objets d’information créés, ils sont mappés aux applications d’entreprise. Pour une application d’entreprise donnée, les objets d’informations déterminent si les informations peuvent être créées, mises à jour, supprimées ou lues dans cette application d’entreprise. Cette capacité permet aux propriétaires d’applications de gérer efficacement les informations. Du point de vue de la gestion de la sécurité de l’information, cette capacité permet à la fonction de risque et de conformité de définir le bon niveau de contrôles à appliquer.

La figure suivante illustre un exemple d’objets d’information. Il existe deux applications : Workday et Now HR. Les deux applications stockent des informations sur les employés. Les informations des employés sont un objet d’information. L’application Now HR peut uniquement lire les informations sur les employés, tandis que l’application Workday a plus d’autorisations. Les risques et les contrôles qui s’appliquent aux applications sont similaires. Cependant, Workday ne se contente pas de lire, mais crée, met également à jour et supprime les informations des employés. Cela signifie que les risques associés à Workday sont plus élevés et que les contrôles appliqués à Workday sont donc plus stricts.