Um objeto de informação é um item de configuração que exibe informações de forma organizada. A finalidade do objeto de informação é descrever logicamente o tipo de dados que são trocados entre a aplicação e o banco de dados. Depois que os objetos de informação são criados, eles são mapeados para aplicações de negócios. Para uma determinada aplicação de negócios, os objetos de informação determinam se as informações podem ser criadas, atualizadas, excluídas ou lidas nessa aplicação de negócios. Essa habilidade permite que os responsáveis pela aplicação gerenciem as informações com eficiência. De uma perspectiva de gestão de segurança da informação, essa capacidade permite que a função de risco e conformidade defina o nível correto de controles que devem ser aplicados.

A figura a seguir mostra um exemplo de objetos de informação. Existem duas aplicações: Workday e Now HR. Ambos os aplicativos armazenam informações do funcionário. As informações do funcionário são um objeto de informação. A aplicação Now HR só pode ler informações do funcionário, enquanto a aplicação Workday tem mais permissões. Os riscos e controles que se aplicam às aplicações são semelhantes. No entanto, o Workday não apenas lê, mas também cria, atualiza e exclui as informações do funcionário. Isso significa que os riscos associados ao Workday são maiores e, portanto, os controles aplicados ao Workday são mais rigorosos.