為了定義信息管理需求，應制定信息管理模型，在其中標示出處理過程、被處理的信息以及用戶。該模型事實上是一種結構化的分析，用來將用戶的角色、過程、信息進行分解， 直至清晰且無歧義。在建模過程中，重要的一步是應用“最小權限”規則，即用戶只能接觸為完成其工作所必不可少的過程和信息，不能擁有過度的權限。模型中還應包括所有的信息管理策略、規則和約定以及對被管理的信息提出的要求。該模型的主要組成是信息域，每一 個信息域中要確定以下三類要素：

◇用戶或信息域的成員。

◇適用于管理所有信息的用戶的規則，權限，角色和職責。

◇正在管理的信息對象，包括進程。

信息系統安全工程師可以利用這些知識來識別適用的保護政策，安全規定，指令，法律等。這些文件可以標識所需的安全級別或必須遵循的程序。

ISSE的所有階段中，文檔均是必不可少的關鍵要素。在發掘信息保護需求時，信息系統安全工程師要將信息威脅、安全服務的類型和強度及優先級、角色與責任記錄下來。其中， 客戶的任務或業務支持系統面臨的信息威脅及相應的安全機制要以信息保護策略(IPP)的形式予以記錄。在取得客戶的認同后，IPP就成了客戶的信息管理策略的一部分，在其余ISSE活動中，這是評估信息保護有效性時的基礎。