本发明涉及一种云系统信息安全风险评估方法。包括如下步骤：步骤1：根据云系统虚拟块进行模块划分，对每个模块进行资产、威胁和脆弱性识别，并获取资产的资产价值Qj，威胁的威胁值thi(t)、脆弱性的脆弱性值；步骤2：依据模块间的实际权限关系获取相邻模块i到j的风险传染系数Ci-j；步骤3：依次计算传染源对系统内每一个模块的总传染系数Cj；步骤4：计算出由传染源对整个系统造成的风险值，公式：本发明考虑到风险传播源对整个系统的传染情况，可以较准确地获取云系统信息安全风险评估结果。