Die Policy sollte dabei die generellen Anforderungen an Cloud-Initiativen aufgreifen, um sie in die übergreifende IT-Strategie einzufügen. Außerdem muss sie die Rahmenbedingungen und Leitlinien definieren, damit die Cloud-Vorhaben nicht der bestehenden technischen Landschaft sowie den bestehenden internen Regelungen zuwider laufen. Besonders die Integration mit anderen Business-Applikationen und die Datensicherheit sowie Compliance-Aspekte haben dabei einen hohen Stellenwert und müssen in eine detaillierte Anforderungsmatrix für Cloud-Dienste einfließen.
Ebenso sollten Vorgehensweisen für die Auswahlprozesse von der Anforderungsanalyse und systematischen Nutzenbewertung, über die rechtliche Prüfung bis zur Entwicklung eines Betriebskonzepts in der unternehmensspezifischen Policy definiert werden. Auch Verfahrensweisen zum Monitoring der nach dem Selbstbedienungsprinzip konzipierten Services sowie Qualitäts- bzw. Service Level-Definitionen müssen Bestandteil einer solchen Guideline sein.
Der Wert einer Cloud-Policy besteht allerdings nicht nur darin, einer unkontrollierten Zersplitterung der IT-Landschaft aufgrund unterschiedlicher Vorgehensmodelle in den verschiedenen Geschäftsbereichen entgegenzuwirken, sondern sie hat neben der steuernden Funktion auch die Aufgabe dem Unternehmen die rechtlichen Konsequenzen des Cloud-Service-Bezugs aufzuzeigen. So kann sie dazu beitragen, die Entwicklung abteilungsindividueller Cloud-Strategien aufeinander abzustimmen und methodisch zu standardisieren, um Synergiepotenziale nutzen und Risiken erkennen zu können. Die Fachbereiche erhalten damit auch gleichzeitig Hilfestellungen zur konkreten Ausgestaltung ihrer Cloud-Planungen.
„Wir stehen erst in den Anfängen der Cloud-Dienste, zukünftig werden sie vermutlich auch für sehr granulare Anforderungen angeboten und deshalb in wachsender Vielfalt in den Unternehmen zum Einsatz kommen“, erwartet Dr. Jakob Rehäuser, Sourcing-Analyst bei Ardour. „Ohne die zu erfüllenden Basisbedingungen in einer Policy festgeschrieben zu haben, wird eine sinnvolle Koordination kaum noch möglich sein.“ Ein solches internes Regelwerk dürfe jedoch nicht zu statisch angelegt sein, da sich der Cloud-Markt in einem dynamischen Entwicklungsprozess befinde und die möglichen Veränderungen kontinuierlich in der Policy abgebildet werden müssten.
Dies müsse in Abstimmung mit den Fachbereichen und der Rechtsabteilung erfolgen, wie überhaupt die Cloud-Policy nach Ansicht von Rehäuser gemeinsam mit den Fachabteilungen entwickelt werden müsse und nicht von der IT verordnet werden dürfe. „Je mehr sich die Fachbereiche in der Policy wiederfinden, desto größer ist ihre Akzeptanz und umso weniger kommt es zu Eigeninitiativen abseits der eigentlichen Cloud-Politik des Unternehmens.“
