Un objet d’informations est un élément de configuration qui affiche des informations sous une forme organisée. L’objet d’information a pour but de décrire logiquement le type de données qui est échangé entre l’application et la base de données. Une fois les objets d’informations créés, ils sont mappés aux applications d’entreprise. Pour une application d’entreprise donnée, les objets d’informations déterminent si les informations peuvent être créées, mises à jour, supprimées ou lues dans cette application d’entreprise. Cette capacité permet aux propriétaires des applications de gérer efficacement les informations. Du point de vue de la gestion de la sécurité de l’information, cette capacité permet à la fonction de risque et de conformité de définir le bon niveau de contrôles à appliquer.

La figure suivante montre un exemple d’objets d’information. Il existe deux applications : Workday et Now HR. Les deux applications stockent des informations sur les employés. Les informations des employés sont un objet d’information. L’application Now HR peut uniquement lire les informations des employés, tandis que l’application Workday dispose de plus d’autorisations. Les risques et les contrôles qui s’appliquent aux applications sont similaires. Cependant, Workday ne se contente pas de lire, mais crée, met à jour et supprime également les informations sur les employés. Cela signifie que les risques associés à Workday sont plus élevés et que les contrôles appliqués à Workday sont donc plus stricts.