為了定義信息管理需求，應制定信息管理模型，在其中標示出處理過程、被處理的信息以及用戶。該模型事實上是一種結構化的分析，用來將用戶的角色、過程、信息進行分解， 直至清晰且無歧義。在建模過程中，重要的一步是應用“最小權限”規(guī)則，即用戶只能接觸為完成其工作所必不可少的過程和信息，不能擁有過度的權限。模型中還應包括所有的信息管理策略、規(guī)則和約定以及對被管理的信息提出的要求。該模型的主要組成是信息域，每一 個信息域中要確定以下三類要素：

◇用戶或信息域的成員。

◇適用于管理所有信息的用戶的規(guī)則，權限，角色和職責。

◇正在管理的信息對象，包括進程。

信息系統(tǒng)安全工程師可以利用這些知識來識別適用的保護政策，安全規(guī)定，指令，法律等。這些文件可以標識所需的安全級別或必須遵循的程序。

ISSE的所有階段中，文檔均是必不可少的關鍵要素。在發(fā)掘信息保護需求時，信息系統(tǒng)安全工程師要將信息威脅、安全服務的類型和強度及優(yōu)先級、角色與責任記錄下來。其中， 客戶的任務或業(yè)務支持系統(tǒng)面臨的信息威脅及相應的安全機制要以信息保護策略(IPP)的形式予以記錄。在取得客戶的認同后，IPP就成了客戶的信息管理策略的一部分，在其余ISSE活動中，這是評估信息保護有效性時的基礎。