為了定義信息管理需求，應(yīng)制定信息管理模型，在其中標(biāo)示出處理過程、被處理的信息以及用戶。該模型事實(shí)上是一種結(jié)構(gòu)化的分析，用來將用戶的角色、過程、信息進(jìn)行分解， 直至清晰且無歧義。在建模過程中，重要的一步是應(yīng)用“最小權(quán)限”規(guī)則，即用戶只能接觸為完成其工作所必不可少的過程和信息，不能擁有過度的權(quán)限。模型中還應(yīng)包括所有的信息管理策略、規(guī)則和約定以及對被管理的信息提出的要求。該模型的主要組成是信息域，每一 個信息域中要確定以下三類要素：

◇用戶或信息域的成員。

◇適用于管理所有信息的用戶的規(guī)則，權(quán)限，角色和職責(zé)。

◇正在管理的信息對象，包括進(jìn)程。

信息系統(tǒng)安全工程師可以利用這些知識來識別適用的保護(hù)政策，安全規(guī)定，指令，法律等。這些文件可以標(biāo)識所需的安全級別或必須遵循的程序。

ISSE的所有階段中，文檔均是必不可少的關(guān)鍵要素。在發(fā)掘信息保護(hù)需求時，信息系統(tǒng)安全工程師要將信息威脅、安全服務(wù)的類型和強(qiáng)度及優(yōu)先級、角色與責(zé)任記錄下來。其中， 客戶的任務(wù)或業(yè)務(wù)支持系統(tǒng)面臨的信息威脅及相應(yīng)的安全機(jī)制要以信息保護(hù)策略(IPP)的形式予以記錄。在取得客戶的認(rèn)同后，IPP就成了客戶的信息管理策略的一部分，在其余ISSE活動中，這是評估信息保護(hù)有效性時的基礎(chǔ)。