Ein Informationsobjekt ist ein Konfigurationselement, das Informationen in einer organisierten Form anzeigt. Der Zweck des Informationsobjekts besteht darin, den Datentyp logisch zu beschreiben, der zwischen der Anwendung und der Datenbank ausgetauscht wird. Nachdem Informationsobjekte erstellt wurden, werden sie Geschäftsanwendungen zugeordnet. Für eine bestimmte Geschäftsanwendung bestimmen die Informationsobjekte, ob Informationen in dieser Geschäftsanwendung erstellt, aktualisiert, gelöscht oder gelesen werden können. Mit dieser Fähigkeit können Anwendungsbesitzer Informationen effizient verwalten. Aus Sicht des Informationssicherheitsmanagements ermöglicht diese Fähigkeit der Risiko- und Compliance-Funktion, die richtige Ebene von Steuerungen zu definieren, die angewendet werden muss.

Die folgende Abbildung zeigt ein Beispiel für Informationsobjekte. Es gibt zwei Anwendungen: Workday und Now HR. Beide Anwendungen speichern Mitarbeiterinformationen. Mitarbeiterinformationen sind ein Informationsobjekt. Die Now HR-Anwendung kann nur Mitarbeiterinformationen lesen, während die Workday-Anwendung über mehr Berechtigungen verfügt. Die Risiken und Steuerungen, die für die Anwendungen gelten, sind ähnlich. Workday liest die Mitarbeiterinformationen jedoch nicht nur, sondern erstellt, aktualisiert und löscht sie auch. Dies bedeutet, dass die mit Workday verbundenen Risiken höher sind, und die auf Workday angewendeten Steuerungen strenger sind.