本发明公开了一种信息系统的多层次信息安全风险评估方法及装置，所述方法包括：构建信息系统的资产层次模型；确定子系统的资产价值；确定信息系统的全部已知威胁，通过预先配置的赋值表查询得到威胁的行为能力值、频率值和时机值，再计算得到每个威胁的数值；确定威胁的作用路径的各个子系统的脆弱性影响程度数值和脆弱性被利用难易程度数值；确定面临每种威胁时子系统的第一信息安全风险，再基于每种威胁时子系统的第一信息安全风险确定子系统的综合信息安全风险；确定各个业务系统的信息安全风险，以及信息系统的信息安全风险。解决了多层次信息安全风险评估方法量化计算的问题，填补了行业空白，可指导复杂信息系统的信息安全风险评估工作。